Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   http://search.fbdownloader.com/?channel=de als neue Startseite (https://www.trojaner-board.de/156961-http-search-fbdownloader-com-channel-de-neue-startseite.html)

M-K-D-B 31.07.2014 18:04
Servus,


Programm von einem anderen Rechner downloaden und per USB-Stick auf den Problemrechner kopieren (> Desktop):



Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Anne-Sue 01.08.2014 10:02
Hallo!

Ich werde es wahrscheinlich erst am Montag schaffen; melde mich dann mit den Ergebnissen

Schönes Wochenende

M-K-D-B 01.08.2014 10:57
Servus,


dir auch ein schönes Wochenende. :)

Bis Montag.

Anne-Sue 04.08.2014 06:29
Hallo!
Da bin ich wieder...

Ich habe grad versucht über den Link Crombofix direkt auf den USB-Stick zu speichern.
Erst mal wurde ich gewarnt diese webside zu besuchen; dann hat das Virenprogramm auf dem PC, von dem ich grad arbeite, einen Trojaner entdeckt und in Quarantäne verschoben.
Wenn ich jetzt dem Link folge lande ich auf auf der Seite: hxxp://www.linkeyproject.com/app/
Kann ich Crombofix überhaupt guten Gewissens runterladen? Was ist das für ein Programm?
Wenn ich auf diesen Rechner auch noch einen Trojaner installiere krieg ich, glaub ich, Haue....:-)

M-K-D-B 04.08.2014 09:37
Servus,



deaktiviere dein AV-Programm, bevor du ComboFix downloadest bzw. auf den Desktop kopierst... das ist ein Fehlalarm von Avira. ;)


Wir entfernen hier Malware und bringen keine neue auf deinen Rechner.



Hier ein alternativer Downloadlink: ComboFix - Download (dauert womöglich 2-3 Sekunden, bis das kleine Downloadfenster kommt)

Anne-Sue 04.08.2014 13:35
ok, Combofix läuft grad auf meinem Rechner.
Ich habe aber mal eine Frage zwischendurch:
ich habe heute festgestellt, dass man an diesem PC an dem ich grad diese Antwort verfasse, immer öfters, wenn man einem Link folgen will, auf folgender seite landet:
hxxp://www.linkeyproject.com/app/

Ist das auch ein Trojaner?

M-K-D-B 04.08.2014 13:40
Zitat:
Zitat von Anne-Sue (Beitrag 1339764)
ich habe heute festgestellt, dass man an diesem PC an dem ich grad diese Antwort verfasse, immer öfters, wenn man einem Link folgen will, auf folgender seite landet:
hxxp://www.linkeyproject.com/app/

Ist das auch ein Trojaner?
Von welchem Link sprichst du?
Welchem Link bist du auf welcher Seite gefolgt?

Anne-Sue 04.08.2014 14:06
hier der Log

Code:
ComboFix 14-08-02.02 - Susi 04.08.2014  14:31:39.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.3066.1445 [GMT 2:00]
ausgeführt von:: J:\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Disabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\programdata\Roaming\Intel\Wireless\Settings\Settings.ini
c:\users\Susi\Favorites\antivir_workstation_winu_de_h.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2014-07-04 bis 2014-08-04  ))))))))))))))))))))))))))))))
.
.
2014-08-04 12:41 . 2014-08-04 12:41        --------        d-----w-        c:\users\kos\AppData\Local\temp
2014-08-04 12:41 . 2014-08-04 12:41        --------        d-----w-        c:\users\Default\AppData\Local\temp
2014-07-29 17:26 . 2014-08-04 05:07        110296        ----a-w-        c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-07-29 17:26 . 2014-07-29 17:26        --------        d-----w-        c:\program files\Malwarebytes Anti-Malware
2014-07-29 17:26 . 2014-07-29 17:26        --------        d-----w-        c:\programdata\Malwarebytes
2014-07-29 17:26 . 2014-05-12 05:26        51928        ----a-w-        c:\windows\system32\drivers\mwac.sys
2014-07-29 17:26 . 2014-05-12 05:25        74456        ----a-w-        c:\windows\system32\drivers\mbamchameleon.sys
2014-07-29 17:26 . 2014-05-12 05:25        23256        ----a-w-        c:\windows\system32\drivers\mbam.sys
2014-07-29 17:12 . 2010-08-30 06:34        536576        ----a-w-        c:\windows\system32\sqlite3.dll
2014-07-29 17:11 . 2014-07-29 17:13        --------        d-----w-        C:\AdwCleaner
2014-07-28 19:32 . 2014-07-28 19:32        --------        d-----w-        c:\program files\7-Zip
2014-07-28 19:04 . 2014-07-31 13:46        --------        d-----w-        C:\FRST
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-10 16:41 . 2013-10-15 17:48        71344        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2014-07-10 16:41 . 2013-10-15 17:48        699056        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2014-06-24 12:54 . 2013-05-17 05:29        97648        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2014-05-27 10:39 . 2013-05-17 05:29        136216        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2007-03-12 17:59 . 2007-03-12 17:59        299008        ----a-w-        c:\program files\navigram_register.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04        131480        ----a-w-        c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04        131480        ----a-w-        c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2014-06-24 22:04        131480        ----a-w-        c:\users\Susi\AppData\Roaming\Dropbox\bin\DropboxExt.24.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2010-11-01 102400]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-08 39408]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2014-05-08 21444224]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-08 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-08 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-17 6111232]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1029416]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-13 30192]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-03-12 49208]
"TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2012-11-11 296096]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2013-05-08 41056]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-06-24 750160]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
c:\users\Susi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Susi\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2014-7-21 35464216]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-12 723496]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.8.150\SSScheduler.exe [2014-4-9 279456]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MBAMSWISSARMY
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        REG_MULTI_SZ          BthServ
getPlusHelper        REG_MULTI_SZ          getPlusHelper
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-03-17 08:56        451872        ----a-w-        c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2014-08-04 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-10-15 16:41]
.
2014-08-04 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-03 17:47]
.
2014-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-25 11:23]
.
2014-08-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-25 11:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-UniblueRegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe
HKLM-Run-NPSStartup - (no file)
HKLM-Run-ZoneAlarm Installer - c:\program files\CheckPoint\Install\Launcher.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Budget - c:\windows\unin0407.exe
AddRemove-ExpressRip - c:\program files\NCH Software\ExpressRip\uninst.exe
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - c:\programdata\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-{E63E34A7-E552-412B-9E40-FD6FC5227ABA}_is1 - c:\program files\Uniblue\RegistryBooster\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-08-04 14:42
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2014-08-04  14:47:05
ComboFix-quarantined-files.txt  2014-08-04 12:47
.
Vor Suchlauf: 13 Verzeichnis(se), 70.240.911.360 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 70.207.758.336 Bytes frei
.
- - End Of File - - 4B02E9279FC73E6B5A3461240C5B55D9
61A349592C4728853F4A90FF78F7628E

M-K-D-B 04.08.2014 14:12
Servus,



was ist mit dem Link, von dem du gesprochen hast?


Was ist mit der Internetverbindung?





Downloade dir bitte Farbar Service Scanner Farbar Service Scanner
  • Starte das Tool mit Doppelklick auf die FSS.exe
  • Gehe sicher, dass folgende Optionen angehakt sind.
    • Internet Services
    • Windows Firewall
    • System Restore
    • Security Center/Action Center
    • Windows Update
    • Windows Defender
    • Other Services
  • Klicke auf Scan.
  • Wenn das Tool fertig ist, wird es eine FSS.txt in dem Verzeichnis erstellen, wo das Tool gelaufen ist.

Poste bitte den Inhalt hier.



Anne-Sue 04.08.2014 14:14
Zitat:
Zitat von M-K-D-B (Beitrag 1339766)
Von welchem Link sprichst du?
Welchem Link bist du auf welcher Seite gefolgt?
z.B. dem Link aus der Antwort-mail zu deiner Antwort; und ich war auf der Homepage eines Campingplatzes und habe auf den Button für die Preisliste geklickt und bin dann auch dort gelandet...

M-K-D-B 04.08.2014 14:16
Zitat:
Zitat von Anne-Sue (Beitrag 1339788)
z.B. dem Link aus der Antwort-mail zu deiner Antwort; und ich war auf der Homepage eines Campingplatzes und habe auf den Button für die Preisliste geklickt und bin dann auch dort gelandet...
War dann aber kein Link von mir, sondern allgemeine Werbung... am Besten bei sowas einen Adblocker installieren, dann siehst du keine Werbungen mehr.

btw... was ist mit der Internetverbindung?


FSS bitte noch ausführen (wie im letzten Post beschrieben).

Anne-Sue 04.08.2014 14:29
Internet funktioniert noch nicht, ich kümmere mich jetzt um FSS

M-K-D-B 04.08.2014 14:29
Zitat:
Zitat von Anne-Sue (Beitrag 1339803)
Internet funktioniert noch nicht, ich kümmere mich jetzt um FSS
Alles klar. :)

Anne-Sue 04.08.2014 14:55
hier der FSS log
Code:
Farbar Service Scanner Version: 21-07-2014
Ran by Susi (administrator) on 04-08-2014 at 15:35:52
Running from "J:\"
Microsoft® Windows Vista™ Home Premium  Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error. Google IP is unreachable
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============


Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => File is digitally signed
C:\Windows\system32\Drivers\nsiproxy.sys => File is digitally signed
C:\Windows\system32\dhcpcsvc.dll => File is digitally signed
C:\Windows\system32\Drivers\afd.sys => File is digitally signed
C:\Windows\system32\Drivers\tdx.sys => File is digitally signed
C:\Windows\system32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\system32\dnsrslvr.dll => File is digitally signed
C:\Windows\system32\mpssvc.dll => File is digitally signed
C:\Windows\system32\bfe.dll => File is digitally signed
C:\Windows\system32\Drivers\mpsdrv.sys => File is digitally signed
C:\Windows\system32\SDRSVC.dll => File is digitally signed
C:\Windows\system32\vssvc.exe => File is digitally signed
C:\Windows\system32\wscsvc.dll => File is digitally signed
C:\Windows\system32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\system32\wuaueng.dll => File is digitally signed
C:\Windows\system32\qmgr.dll => File is digitally signed
C:\Windows\system32\es.dll => File is digitally signed
C:\Windows\system32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\system32\ipnathlp.dll => File is digitally signed
C:\Windows\system32\iphlpsvc.dll => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed


**** End of log ****

M-K-D-B 05.08.2014 08:38
Downloade dir bitte ESET services repair und speichere es auf den Desktop.
  • Öffne das Tool mit einem Doppelklick auf ServicesRepair.exe.
  • Wenn Hinweise angezeigt werden, drücke auf Weiter/Ja und bestätige die Ausführung des Tools.
  • Nachdem das Tool durchgelaufen ist, wird ein Neustart verlangt. Drücke auf Yes, um diesen auszuführen.
  • Im auf dem Desktop erstellten Ordner CCSupport findest du ein Logfile. Poste bitte dessen Inhalt hier.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:16 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131