Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner gefunden! (https://www.trojaner-board.de/126108-trojaner-gefunden.html)

falkenbach12 25.10.2012 05:08
Trojaner gefunden!
 
Hallo,
erstmal: ich bin neu hier :crazy:

Also ich habe vor ungefähr 2 stunden einen auffälligen prozess erkannt: "dmview.exe*32" dieser prozess hat die beschreibung "zuckerbergs support".

Ich bin mir sehr sicher dass dieser Prozess ein Virus bzw. ein trojaner ist, weil er sich nicht beenden lässt. :pfui::pfui::pfui:
Allerdings hab ich irgendwie keinen bock auf einen trojaner..^^ deshalb möchte ich diesen so schnell wie möglich los werden. der dateipfad lautet: C:\Users\Admin\AppData\Local\Temp

allerdings kann ich dort nichts finden.

Bitte helft mir

MFG
falkenbach12

cosinus 25.10.2012 13:18
Bitte nun routinemäßig einen Quickscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

falkenbach12 26.10.2012 02:26
ok habe den trojaner heute morgen schon behoben mit systemwiederherstellung :dankeschoen:

jetz kommt jeden systemstart die meldung : konnte datei nicht öffnen: winupdate[beliebige zahlen einfügen] :pfeiff:


aber ich glaube jetzt ist der trojaner unschädlich :applaus:

cosinus 26.10.2012 13:12
Die SWH allein ist zu unsicher!

Zitat:
aber ich glaube jetzt ist der trojaner unschädlich
Du glaubst? :dummguck:
Bitte mach die Logs

falkenbach12 26.10.2012 13:47
Code:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.26.06

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Admin :: ADMIN-PC [Administrator]

26.10.2012 14:41:46
mbam-log-2012-10-26 (14-46-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 239440
Laufzeit: 3 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCU\SOFTWARE\Bifrost (Bifrose.Trace) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Keine Aktion durchgeführt.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Bifrost (Bifrose.Trace) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winupdate (Spyware.Passwords) -> Daten: C:\Program Files\Java\jre7\bin\javaw -jar "C:\Users\Admin\AppData\Local\Temp\winupdate3584156570479431120.jar" -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WindowsUpdate.exe (Backdoor.IRCBot.Gen) -> Daten: C:\Users\Admin\AppData\Local\Temp\tmpF5B6.tmp.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\Admin\AppData\Roaming\dclogs (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 8
C:\Users\Admin\AppData\Roaming\PhrozenSoft\DCLegacyViewer\DCViewer.exe (Trojan.Backdoor) -> Keine Aktion durchgeführt.
C:\Users\Admin\AppData\Roaming\PhrozenSoft\DCLegacyViewer\upnp.exe (Backdoor.Daromec) -> Keine Aktion durchgeführt.
C:\Users\Admin\Desktop\Trainer.exe (Malware.Packer.Gen) -> Keine Aktion durchgeführt.
C:\Windows\Bifrost.exe (Backdoor.BifrosePS) -> Keine Aktion durchgeführt.
C:\Users\Admin\AppData\Roaming\dclogs\2012-10-24-4.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Users\Admin\AppData\Roaming\dclogs\2012-10-25-5.dc (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Windows\System32\explorer.exe.replaced (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt.
C:\Windows\SysWOW64\explorer.exe.replaced (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt.

(Ende)
habe noch nichts gemacht warte auf anweisungen ^^

cosinus 26.10.2012 14:00
Soviel zum Thema Wirksamkeit der SWH :lach:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

falkenbach12 26.10.2012 14:52
jo hab ausgeführt:

LOGDATEI:

Code:
ComboFix 12-10-26.01 - Admin 26.10.2012  15:11:24.1.2 - x64
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.3070.2129 [GMT 2:00]
ausgeführt von:: c:\users\Admin\Desktop\ComboFix.exe
AV: avast! Internet Security *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
FW: avast! Internet Security *Disabled* {131692B0-0864-D491-4E21-3A3A1D8BBB47}
SP: avast! Internet Security *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\CFLog
c:\cflog\CrashLog_20120528.txt
c:\cflog\CrashLog_20120610.txt
c:\cflog\CrashLog_20120623.txt
c:\cflog\CrashLog_20120718.txt
c:\cflog\CrashLog_20120719.txt
c:\cflog\CrashLog_20120720.txt
c:\cflog\CrashLog_20120721.txt
c:\cflog\CrashLog_20120722.txt
c:\cflog\CrashLog_20120810.txt
c:\cflog\CrashLog_20120915.txt
c:\cflog\CrashLog_20120916.txt
c:\cflog\CrashLog_20121012.txt
c:\cflog\CrashLog_20121022.txt
c:\cflog\CrashLog_20121023.txt
c:\cflog\CrashLog_20121024.txt
c:\cflog\CrashLog_20121025.txt
c:\programdata\1335651367.bdinstall.bin
c:\programdata\1335656341.bdinstall.bin
c:\programdata\1350170436.bdinstall.bin
c:\programdata\1350171588.bdinstall.bin
c:\programdata\1350180541.bdinstall.bin
c:\users\Admin\AppData\Roaming\Adminlog.dat
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_nvsvc
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-09-26 bis 2012-10-26  ))))))))))))))))))))))))))))))
.
.
2012-10-26 12:41 . 2012-10-26 12:41        --------        d-----w-        c:\users\Admin\AppData\Roaming\Malwarebytes
2012-10-26 12:40 . 2012-10-26 12:40        --------        d-----w-        c:\programdata\Malwarebytes
2012-10-26 12:40 . 2012-09-29 17:54        25928        ----a-w-        c:\windows\system32\drivers\mbam.sys
2012-10-25 13:07 . 2012-10-25 13:07        1180099        ----a-w-        c:\windows\unins000.exe
2012-10-25 12:57 . 2012-10-23 10:18        25232        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2012-10-25 12:57 . 2012-10-23 10:18        364096        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2012-10-25 12:57 . 2012-10-23 10:18        132864        ----a-w-        c:\windows\system32\drivers\aswFW.sys
2012-10-25 12:56 . 2012-10-23 10:18        262656        ----a-w-        c:\windows\system32\drivers\aswNdis2.sys
2012-10-25 12:56 . 2012-10-15 16:59        54072        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys
2012-10-25 12:56 . 2012-10-23 10:18        984144        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2012-10-25 12:56 . 2012-10-23 10:18        59728        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2012-10-25 12:56 . 2012-10-23 10:18        71600        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2012-10-25 12:56 . 2012-06-27 20:33        12368        ----a-w-        c:\windows\system32\drivers\aswNdis.sys
2012-10-25 12:56 . 2012-10-23 10:17        41224        ----a-w-        c:\windows\avastSS.scr
2012-10-25 12:56 . 2012-10-23 10:17        227648        ----a-w-        c:\windows\SysWow64\aswBoot.exe
2012-10-25 02:33 . 2012-10-25 12:27        --------        d-----w-        c:\program files (x86)\Astroburn Lite
2012-10-25 02:33 . 2012-10-25 02:33        --------        d-----w-        c:\programdata\Astroburn Lite
2012-10-25 02:10 . 2012-10-25 02:10        --------        d-----w-        c:\users\Admin\AppData\Roaming\Avira
2012-10-25 02:08 . 2012-10-25 02:08        --------        d-----w-        c:\program files (x86)\Avira
2012-10-25 00:02 . 2012-10-25 00:02        --------        d-----w-        c:\users\Admin\VirtualBox VMs
2012-10-25 00:01 . 2012-10-25 01:32        --------        d-----w-        c:\users\Admin\.VirtualBox
2012-10-24 19:31 . 2012-10-24 19:31        --------        d-----w-        c:\users\Admin\AppData\Roaming\PhrozenSoft
2012-10-24 18:21 . 2012-10-24 18:20        289768        ----a-w-        c:\windows\system32\javaws.exe
2012-10-24 18:21 . 2012-10-24 18:20        1034216        ----a-w-        c:\windows\system32\npDeployJava1.dll
2012-10-24 18:20 . 2012-10-24 18:20        108008        ----a-w-        c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-24 18:20 . 2012-10-24 18:20        189416        ----a-w-        c:\windows\system32\javaw.exe
2012-10-24 18:20 . 2012-10-24 18:20        188904        ----a-w-        c:\windows\system32\java.exe
2012-10-23 09:44 . 2012-10-23 09:44        --------        d-----w-        c:\users\Admin\AppData\Roaming\dvdcss
2012-10-22 19:10 . 2012-10-22 19:10        --------        d-----w-        c:\users\Admin\AppData\Local\SimpsInject_v3
2012-10-21 10:22 . 2012-10-21 10:22        --------        d-----w-        c:\users\Admin\AppData\Local\NiXoN_II___Injector
2012-10-14 11:34 . 2012-10-25 12:28        --------        d-----w-        c:\users\Administrator
2012-10-14 11:32 . 2012-10-14 11:32        --------        d-----w-        c:\users\Andere\AppData\Roaming\DAEMON Tools Lite
2012-10-13 23:24 . 2007-04-11 09:11        511328        ----a-w-        c:\windows\capicom.dll
2012-10-13 23:21 . 2012-10-13 23:21        --------        d-----w-        c:\users\Admin\AppData\Roaming\QuickScan
2012-10-13 22:54 . 2012-10-13 22:54        --------        d-----w-        c:\windows\SysWow64\Hotspot Shield
2012-10-13 19:12 . 2012-10-13 19:12        --------        d-----w-        c:\program files (x86)\Hotspot_Shield
2012-10-13 00:07 . 2012-10-25 12:27        --------        d-----w-        c:\users\Admin\AppData\Roaming\vlc
2012-10-06 01:36 . 2012-10-06 01:36        --------        d-sh--w-        c:\programdata\SecuROM
2012-10-06 01:36 . 2012-10-06 01:36        --------        d-----w-        c:\windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2012-10-06 01:36 . 2012-10-06 01:36        --------        d-----w-        c:\program files (x86)\Common Files\Wise Installation Wizard
2012-10-05 18:52 . 2012-10-05 20:31        --------        d-----w-        c:\programdata\Tunngle
2012-10-05 18:52 . 2012-10-05 19:03        --------        d-----w-        c:\users\Admin\AppData\Roaming\Tunngle
2012-10-05 18:52 . 2009-09-16 06:02        31232        ----a-w-        c:\windows\system32\drivers\tap0901t.sys
2012-09-30 14:10 . 2012-10-05 19:06        --------        d-sh--r-        c:\users\Admin\AppData\Roaming\Apple
2012-09-30 14:05 . 2012-09-30 14:05        --------        d-----w-        c:\users\Admin\AppData\Roaming\ts3overlay
2012-09-28 23:46 . 2012-09-28 23:46        --------        d-----w-        c:\users\Admin\AppData\Local\SKIDROW
2012-09-28 22:00 . 2012-09-28 23:50        --------        d-----w-        c:\programdata\SweetIM
2012-09-28 22:00 . 2012-09-28 23:50        --------        d-----w-        c:\program files (x86)\SweetIM
2012-09-28 19:58 . 2012-09-28 19:58        --------        d-----w-        c:\users\Admin\AppData\Roaming\InstallShield Installation Information
2012-09-28 19:00 . 2012-09-28 19:28        --------        d-----w-        c:\users\Admin\.android
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-24 18:20 . 2012-04-15 19:57        916456        ----a-w-        c:\windows\system32\deployJava1.dll
2012-10-23 10:18 . 2012-09-14 14:12        21136        ----a-w-        c:\windows\system32\drivers\aswKbd.sys
2012-10-23 10:17 . 2012-04-15 17:56        285328        ----a-w-        c:\windows\system32\aswBoot.exe
2012-09-13 21:06 . 2012-09-13 21:06        42248        ----a-w-        c:\windows\system32\drivers\hssdrv6.sys
2012-09-08 20:33 . 2012-09-08 20:33        77352        ----a-w-        c:\windows\system32\drivers\vrtaucbl.sys
2012-09-06 16:09 . 2012-09-06 16:10        95208        ----a-w-        c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-09-06 16:09 . 2012-07-11 17:28        821736        ----a-w-        c:\windows\SysWow64\npDeployJava1.dll
2012-09-06 16:09 . 2012-07-11 17:28        746984        ----a-w-        c:\windows\SysWow64\deployJava1.dll
2012-08-24 21:49 . 2012-08-24 21:49        283200        ----a-w-        c:\windows\system32\drivers\dtsoftbus01.sys
2012-08-24 13:53 . 2012-04-15 20:40        73416        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-08-24 13:53 . 2012-04-15 20:40        696520        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2012-07-04 130904]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\program files (x86)\Hotspot_Shield\prxtbHots.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2011-05-09 09:49        176936        ----a-w-        c:\program files (x86)\Hotspot_Shield\prxtbHots.dll
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2012-07-04 13:03        1310040        ------w-        c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-07-04 1310040]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\program files (x86)\Hotspot_Shield\prxtbHots.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]
"DAEMON Tools Lite"="d:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-04-11 3672384]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"LogMeIn Hamachi Ui"="d:\program files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" [2012-08-29 1996200]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-23 4297136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages        REG_MULTI_SZ          kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update-Dienst (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 116648]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-03 160944]
R3 EagleX64;EagleX64;c:\windows\system32\drivers\EagleX64.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 116648]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [x]
R3 ScreamBAudioSvc;ScreamBee Audio;c:\windows\system32\drivers\ScreamingBAudio64.sys [2010-07-01 38992]
R3 TunngleService;TunngleService;d:\program files (x86)\Tunngle\TnglCtrl.exe [2012-10-02 743320]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-04-25 52736]
R3 X6va008;X6va008;c:\windows\SysWOW64\Drivers\X6va008 [x]
R3 X6va009;X6va009;c:\windows\SysWOW64\Drivers\X6va009 [x]
R3 X6va011;X6va011;c:\windows\SysWOW64\Drivers\X6va011 [x]
R4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\program files\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2009-07-21 61976]
R4 RsFx0103;RsFx0103 Driver;c:\windows\system32\DRIVERS\RsFx0103.sys [2009-03-30 311656]
R4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2009-03-30 427880]
S0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\DRIVERS\aswNdis.sys [2012-06-27 12368]
S0 aswNdis2;avast! Firewall Core Firewall Service; [x]
S1 aswFW;avast! TDI Firewall driver; [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-08-24 283200]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-10-23 71600]
S2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2012-10-23 133912]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-08-29 2369960]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S2 TeamViewer7;TeamViewer 7;c:\program files (x86)\TeamViewer\Version7\TeamViewer_Service.exe [2012-08-24 2735528]
S3 EuMusDesignVirtualAudioCableWdm;Virtual Audio Cable (WDM);c:\windows\system32\DRIVERS\vrtaucbl.sys [2012-09-08 77352]
S3 netr7364;Belkin Wireless 54G USB Network Adapter Driver for Vista;c:\windows\system32\DRIVERS\netr7364.sys [2012-04-15 575488]
S3 tap0901t;TAP-Win32 Adapter V9 (Tunngle);c:\windows\system32\DRIVERS\tap0901t.sys [2009-09-16 31232]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 20:35]
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-10 20:35]
.
2012-10-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-713002007-3358215416-2879907089-1000Core.job
- c:\users\Admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-15 18:07]
.
2012-10-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-713002007-3358215416-2879907089-1000UA.job
- c:\users\Admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-04-15 18:07]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-23 10:17        133400        ----a-w-        c:\program files\AVAST Software\Avast\ashShA64.dll
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{F791A188-699D-4FD4-955A-EB59E89B1907}"= "\Program Files\Theme Resource Changer\ThemeResourceChanger.dll" [2010-10-07 103936]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.olgh.net
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>
Trusted Zone: clonewarsadventures.com
Trusted Zone: freerealms.com
Trusted Zone: soe.com
Trusted Zone: sony.com
FF - ProfilePath - c:\users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0n8r16co.default\
FF - prefs.js: network.proxy.socks - 127.0.0.1
FF - prefs.js: network.proxy.socks_port - 9050
FF - prefs.js: network.proxy.type - 1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{0027da2d-c9f2-4b0b-ae05-e2cd1bdb6cff} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - (no file)
AddRemove-Android SDK Tools - d:\android\uninstall.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va008"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va009]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va009"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va011"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_235_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_235.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-26  15:41:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-10-26 13:41
.
Vor Suchlauf: 15 Verzeichnis(se), 50.481.999.872 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 49.728.995.328 Bytes frei
.
- - End Of File - - A258854E29F6A73C8504BF7F21B930D3

cosinus 26.10.2012 15:05
Code:
c:\users\Admin\AppData\Local\SKIDROW
SKIDROW ist ein Synonym für gecrackte Software :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19