Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bebloh (DHL-Mail) (https://www.trojaner-board.de/129782-bebloh-dhl-mail.html)

Oliver28 19.01.2013 13:35
Bebloh (DHL-Mail)
 
Guten Tag,

meine Eltern haben bedauernderweise einen Anhang einer Mail geöffnet. (gefakte DHL Mail)
Sobald ich davon erfahren hab, hab ich den Rechner vom Netz getrennt.
Das ist nun schon 1-2 Monate her. Seitdem wurde der Rechner nur offline genutzt. Nun soll er wieder fit gemacht werden für den Online Betrieb, allerdings nur fürs surfen. (kein Onlinebanking, etc.)
Das ist der Grund, warum ich mich an euch wende, denn ich suche eine Bereinigung.

Nun, vor ein paar Tagen hat G-Data einen Teil des Schädlings 'entfernt' (dampvideo.exe), danach meldete sich der PC nach der Anmeldung sofort wieder ab. Das Problem konnte ich durch Verändern der Registry beheben. (per Boot-CD)
Der Eintrag hieß userinit.exe und irgendwas mit DEBUGGER, und eben der dampvideo.exe.
Den Eintrag habe ich einfach gelöscht, danach funktionierte wieder alles problemlos. Mir ist klar, dass der PC noch lange nicht bereinigt ist, sondern nur die Sympthome bereingt sind.

Da es sich bei dem DEBUGGER Eintrag eindeutig (?) um Bebloh handelt, wollte ich euch Fragen welche Logs ihr denn braucht. (OTL, Mbam, ...?)

Mit freundlichen Grüßen,
Oliver

markusg 19.01.2013 16:00
Hi,
bitte poste die GDATA Fundmeldungen.
Warnt bitte Freunde, Bekannte, etc, das im Moment vermehrt E-Mails mit Rechnungen, und sonstigen fake Anhängen unterwegs sind, gib ihnen die Mailadresse aus meiner Signatur, mit bitte, uns verdächtige Mails weiterzuleiten.

Oliver28 19.01.2013 19:39
Alle Protokolle sind im Anhang. Die .rar Datei (im Log) habe ich damals gepackt, weiß aber nicht mehr genau was das war, könnte die Ursprungsdatei gewesen sein. Kann die auch hochladen, wenn ihr wollte.
Die Email selber wurde damals gelöscht.

markusg 19.01.2013 19:43
hi
wenn weitere Spams reinkommen, gerne weiterleiten.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Oliver28 20.01.2013 12:29
Ich habe jetzt mal einen normalen Scan mit 90 Tagen gemacht, weil die Infektion ja schon länger zurück liegt. Hoffe das passt so.

markusg 20.01.2013 20:16
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 33920 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\mscywm.exe
 :Files
:Commands
[EMPTYFLASH]
[emptytemp]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Oliver28 20.01.2013 22:15
Log ist angehängt.
Upload hat problemlos funktioniert.

Danke für die Hilfe!
Oliver

markusg 21.01.2013 12:46
hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Oliver28 21.01.2013 13:58
Datev, WIBUKEY und AVM kenne ich. Den Rest nicht. Wollte es nur nochmal erwähnen, falls du die jeweiligen Programme nicht kennst. Log im Anhang.

Danke für die bisherige Hilfe!
Oliver

markusg 21.01.2013 14:01
Hi
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Oliver28 21.01.2013 14:30
Code:
ComboFix 13-01-21.01 - User 21.01.2013  14:08:28.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1525 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: G Data TotalCare 2012 *Disabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-21 bis 2013-01-21  ))))))))))))))))))))))))))))))
.
.
2013-01-20 20:29 . 2013-01-20 21:02        --------        d-----w-        C:\_OTL
2013-01-20 11:17 . 2013-01-20 11:17        --------        d-----w-        c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe Limited
2013-01-20 11:17 . 2013-01-20 11:17        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2013-01-20 09:28 . 2012-06-03 08:45        5504        ----a-w-        c:\windows\system32\drivers\StarOpen.sys
2013-01-20 09:28 . 2013-01-20 09:28        --------        d-----w-        c:\programme\CDBurnerXP
2013-01-06 14:24 . 2013-01-06 14:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2012-12-30 16:50 . 2012-12-30 16:50        --------        d-----w-        C:\temp
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:23 . 2009-02-17 11:14        290560        ----a-w-        c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2009-02-17 11:15        1866496        ----a-w-        c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2009-02-17 11:14        375296        ----a-w-        c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2009-02-17 11:15        916992        ----a-w-        c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2009-02-17 11:14        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2009-02-17 11:14        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2009-02-17 11:14        385024        ----a-w-        c:\windows\system32\html.iec
2002-07-04 09:44 . 2009-04-22 06:07        3208380        ------w-        c:\programme\Ulead VideoStudio 5.0.msi
2012-09-06 01:26 . 2012-09-18 18:14        266720        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}]
2011-06-01 07:05        611936        ------w-        c:\datev\PROGRAMM\B0000397\DtvIePwdSafe.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OODIIcon]
@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"
[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]
2009-01-19 22:08        111872        ----a-w-        c:\programme\OO Software\DiskImage\oodishi.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"G Data AntiVirus Tray Application"="c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe" [2011-05-11 923144]
"GDFirewallTray"="c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe" [2011-10-28 1617416]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DVCCSA]
2011-06-28 07:22        102912        ------w-        c:\windows\system32\DVCCSAnotify002.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SkyUserDevmode-Update.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk
backup=c:\windows\pss\SkyUserDevmode-Update.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51        919008        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATEV_SCardMan]
2010-09-22 14:47        368736        ------w-        c:\datev\PROGRAMM\B0000347\ScMgmt\SCardManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVCCSAWTSSetEntryNTE]
2011-06-28 07:22        549472        ----a-w-        c:\datev\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-09-19 20:48        455968        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-12-02 13:29        2221352        ----a-w-        c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-11-06 06:25        570664        ----a-w-        c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
2008-09-04 04:01        2524416        ----a-w-        c:\windows\system32\oodtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 10:36        50472        ------w-        c:\programme\CyberLink\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 19:23        83240        ------w-        c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiPaHost]
2011-05-09 12:52        595552        ------w-        c:\datev\PROGRAMM\B0000398\SiPaHost.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
2004-11-26 09:43        90112        ------w-        c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WkSvW32.exe"=2 (0x2)
"SQLWriter"=2 (0x2)
"SQLBrowser"=2 (0x2)
"O&O DiskImage"=2 (0x2)
"O&O Defrag"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe
"c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=
"c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=
"c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"=
"c:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=
"c:\\DATEV\\PROGRAMM\\B0000398\\SiPaHost.exe"=
"c:\\DATEV\\PROGRAMM\\B0000391\\Datev.Security.Dokumentenschutz.exe"=
.
R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [26.08.2009 06:29 40440]
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [31.03.2009 13:47 30200]
R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [19.01.2009 23:11 95752]
R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [19.01.2009 23:11 28680]
R0 oodivd;O&O DiskImage VirtualDisk Driver;c:\windows\system32\drivers\oodivd.sys [19.01.2009 23:11 133640]
R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [19.01.2009 23:11 31240]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [31.03.2009 13:48 79992]
R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [31.03.2009 14:58 69112]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [12.11.2010 18:31 40568]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1506824]
R2 AVKService;G Data Scheduler;c:\programme\G DATA\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 381448]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1554184]
R2 DATEV Logon Service;DATEV Logon Service;c:\datev\PROGRAMM\B0001364\DtvScSer.exe [03.09.2010 13:50 406112]
R2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 [?]
R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [09.12.2011 01:20 79872]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [31.03.2009 13:47 52216]
R2 KOBIL_MSDI;KOBIL_MSDI;c:\datev\PROGRAMM\B0000404\msdisrv.exe [25.08.2010 07:54 194144]
R2 msftesql$DATEV_CL_DE01;SQL Server-Volltextsuche (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe [26.03.2010 02:07 91992]
R2 MSSQL$DATEV_CL_DE01;SQL Server (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe [10.12.2010 17:29 29293408]
R2 O&O DiskImage;O&O DiskImage;c:\programme\OO Software\DiskImage\oodiag.exe [19.01.2009 23:07 2094336]
R2 SC_Serv3D;SC_Serv3D;c:\windows\system32\drivers\d3_kafm.sys [19.07.2011 13:28 75320]
R2 SCardService;DATEV SmartCard Service;c:\datev\PROGRAMM\B0000347\ScMgmt\SCardService.exe [22.09.2010 16:47 292960]
R2 Sicherheitspaket-Dienst;Sicherheitspaket-Dienst;c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 --> c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 [?]
R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [11.11.2011 09:50 554160]
R3 GDFwSvc;G Data Personal Firewall;c:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1613424]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [27.08.2010 00:39 457536]
S2 DVckService;DVckService;c:\datev\PROGRAMM\B0000150\ScServer\DVckService.exe [28.06.2011 08:18 2409056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.02.2009 14:08 1684736]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.09.2012 12:50 4352]
S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [25.07.2011 01:49 172640]
S3 Datev.Database.Conserve;DATEV Connection Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices.Messaging.CentralMessagingService;DATEV Messaging-Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 [?]
S3 fwlanusb4;FRITZ!WLAN N/G;c:\windows\system32\drivers\fwlanusb4.sys [21.09.2012 12:49 926080]
S3 GDBackupSvc;G Data Backup Service;c:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 1498616]
S3 GDTunerSvc;G Data Tuner Service;c:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 960504]
S3 ZYA22_XP;ZyXEL 802.11a+b+g AG760 1211 Driver;c:\windows\system32\drivers\WlanAGXP.sys [02.04.2009 10:20 456704]
S4 WkSvW32.exe;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [01.04.2009 08:20 577536]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 78015133
*Deregistered* - 78015133
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-09-19 20:46        451872        ----a-w-        c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 18:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - ExtSQL: !HIDDEN! 2009-09-02 20:53; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{557F4852-8868-44dd-B5E9-9890AC4B1FD5} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-StartSpeedy - c:\datev\PROGRAMM\B0001356\mIDentity.exe
AddRemove-EPSON Photo Print - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-21 14:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql$DATEV_CL_DE01]
"ImagePath"="\"c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:DATEV_CL_DE01"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
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
.
Zeit der Fertigstellung: 2013-01-21  14:21:12
ComboFix-quarantined-files.txt  2013-01-21 13:21
.
Vor Suchlauf: 18 Verzeichnis(se), 237.590.165.504 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 237.956.813.312 Bytes frei
.
- - End Of File - - 7C29693680DF32715DE8EBB3A01CCB1C
Hier das Log von ComboFix.

markusg 21.01.2013 14:56
Hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Oliver28 21.01.2013 15:50
Kann ich denn Malwarebytes auch offline updaten? Da der PC ja nicht ans Internet angeschlossen ist.

Ok, sorry für Doppelpost, habs hingekriegt. Malwarebytes keine Funde, habe vollständig gescannt. Wie gehts weiter?

markusg 21.01.2013 18:44
kannst den pc auch ans netz bringen.

Oliver28 21.01.2013 19:02
Zitat:
Zitat von markusg (Beitrag 995719)
kannst den pc auch ans netz bringen.
Ok. :)
Wie gesagt, Malwarebytes ohne Funde. Gibts noch was zu tun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:54 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131