Trojaner-Board - Benötige Hilfe zur Entfernung von Cyber Security

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Benötige Hilfe zur Entfernung von Cyber Security (https://www.trojaner-board.de/78783-benoetige-hilfe-entfernung-cyber-security.html)

Benötige Hilfe zur Entfernung von Cyber Security

Hallo zusammen,

mein erstes Post und ich komm gleich mit Problemen an ;)

Ich hab mir heute das Programm Cyber Security eingefangen und hab dann etwas recherchiert und bin die Punkte 1 - 5 aus der Hilfe von Coverflow aus dem Helfer-Team zu dem Thread von Mino abgegangen.

Meine "Ergebnisse" dazu befinden sich im Anhang.

Das Resultat des Scans mit "Gmer" ist folgendes.

Code:

GMER 1.0.15.15163 - http://www.gmer.net

Rootkit scan 2009-10-24 15:44:32

Windows 5.1.2600 Service Pack 2

Running: bu3vq6i5.exe; Driver: C:\DOKUME~1\GOLDFE~1\LOKALE~1\Temp\uwdoafoc.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7C53B8E                                 ZwCreateKey

SSDT            F7C53B84                                 ZwCreateThread

SSDT            F7C53B93                                 ZwDeleteKey

SSDT            F7C53B9D                                 ZwDeleteValueKey

SSDT            F7C53BA2                                 ZwLoadKey

SSDT            F7C53B70                                 ZwOpenProcess

SSDT            F7C53B75                                 ZwOpenThread

SSDT            F7C53BAC                                 ZwReplaceKey

SSDT            F7C53BA7                                 ZwRestoreKey

SSDT            F7C53B98                                 ZwSetValueKey

SSDT            F7C53B7F                                 ZwTerminateProcess
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1  SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                 fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- EOF - GMER 1.0.15 ----

Ich hoffe, dass ich soweit auch alles richtig gemacht habe und möchte um Hilfe bitten, da ich mich mit solchen Sachverhalten leider überhaupt nicht auskenne.

Lg
patrick

Hallo und Herzlich Willkommen! :)

Gute Vorarbeit, sieht schon ganz gut aus:)
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`

Code:

Cyber Security

Falls nicht klappen sollte:
starte HijackThis -> wähle unter "Open the Misc Tools section" den Button "Open Uninstall Manager" -> Eintrag auswählen - "Cyber Security" -> "Delete this entry" -> Neustart durchführen

2.
- Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hallo Coverflow.

Vielen Dank für die schnelle Antwort. Ich habe die beiden von Dir angeratenen Punkte abgearbeitet.

Zu Pkt.1:
Cyber Security ließ sich über Systemsteuerung: Entfernen löschen. Hierbei bekam ich zudem die Nachricht, das Programm sei bereits deinstalliert (warum auch immer) und verbliebene Komponenten seien nun noch durch das Entfernen zu beseitigen. In der Übersicht der installierten Programme kann ich es nun nicht mehr ausmachen. Ebensowenig zeigt mir der CCleaner das Programm über die Extras an.

Zu Pkt.2:
Den Scan hab ich durchgeführt. Hier ist das Ergebnis

Code:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

 Sunday, October 25, 2009

 Operating system: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

 Kaspersky Online Scanner version: 7.0.26.13

 Last database update: Sunday, October 25, 2009 09:32:01

 Records in database: 3066784

--------------------------------------------------------------------------------
 

Scan settings:

        scan using the following database: extended

        Scan archives: yes

        Scan e-mail databases: yes
 

Scan area - My Computer:

        C:\

        D:\

        E:\
 

Scan statistics:

        Objects scanned: 71236

        Threats found: 1

        Infected objects found: 1

        Suspicious objects found: 0

        Scan duration: 02:24:54
 
 

File name / Threat / Threats count

C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP60\A0007325.dll        Infected: Packed.Win32.Krap.ae        1
 

Selected area has been scanned.

grüße
patrick

hi

1.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

2.
- Speichermedien wie Externe Festplatte/USB-Stick usw bitte anschließen - Halte aber beim einstecken des Sticks die Shift-Taste gedrückt! Dadurch wird der Autostart des Datenträgers deaktiviert.
- Lade das Combofix von einem der folgenden Download Spiegel herunter:
BleepingComputer - ForoSpyware

- dann installiere auf den Desktop
- Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren
- Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten!
- Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen
- Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren
- bestätige mit "ja", damit den Suchlauf automatisch beginnen kann

Zitat:

Achtung! Während ComboFix läuft: Ab sofort die Maus nicht mehr bewegen oder/und auf dem PC irgendetwas machen!!
** Für alle die das Tool benutzen, eine gewisse Vorsicht geboten, also die Reihenfolge und Anweisungen gründlich lesen und streng einhalten!!

- wird ein Log-Datei - C:\ComboFix.txt erstellt, deren Inhalte bitte posten
** Eine bebilderte Anleitung findest Du hier: bleepingcomputer.com/combofix/Anleitung
**Danach nicht vergessen die Schutzprogramme wieder aktivieren!!

Morgen :-)

Pkt. 1 +2 abgearbeitet. Hier ist das Resultat des ComboFix:

Code:

ComboFix 09-10-25.02 - Goldfeder 26.10.2009  5:03.1.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.766.421 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Goldfeder\Desktop\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

D:\install.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-09-26 bis 2009-10-26  ))))))))))))))))))))))))))))))

.
 

2009-10-26 03:06 . 2009-10-26 03:07        --------        d-----w-        c:\windows\system32\XPSViewer

2009-10-26 03:06 . 2009-10-26 03:06        --------        d-----w-        c:\programme\Reference Assemblies

2009-10-26 03:05 . 2008-07-06 12:06        89088        ------w-        c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-10-26 03:05 . 2008-07-06 12:06        117760        ------w-        c:\windows\system32\prntvpt.dll

2009-10-26 03:05 . 2008-07-06 10:50        597504        ------w-        c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-10-26 03:05 . 2008-07-06 12:06        575488        ------w-        c:\windows\system32\xpsshhdr.dll

2009-10-26 03:05 . 2008-07-06 12:06        575488        ------w-        c:\windows\system32\dllcache\xpsshhdr.dll

2009-10-26 03:05 . 2008-07-06 12:06        1676288        ------w-        c:\windows\system32\xpssvcs.dll

2009-10-26 03:05 . 2008-07-06 12:06        1676288        ------w-        c:\windows\system32\dllcache\xpssvcs.dll

2009-10-26 02:52 . 2009-10-26 02:52        --------        d-----w-        c:\programme\MSXML 6.0

2009-10-25 07:01 . 2009-10-01 09:29        195440        ------w-        c:\windows\system32\MpSigStub.exe

2009-10-25 07:00 . 2009-10-25 07:00        --------        d-----w-        c:\programme\Windows Defender

2009-10-24 13:27 . 2009-10-24 13:27        --------        d-----w-        c:\programme\Trend Micro

2009-10-24 09:15 . 2009-10-24 09:15        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Malwarebytes

2009-10-24 09:15 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-24 09:15 . 2009-10-24 09:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-10-24 09:15 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-10-24 09:15 . 2009-10-24 09:15        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-10-24 08:52 . 2009-10-24 08:52        --------        d-----w-        c:\programme\CS

2009-10-19 09:49 . 2009-10-19 09:49        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Academic Software Zurich

2009-10-19 09:33 . 2009-10-19 09:33        --------        d-----w-        c:\programme\Citavi

2009-10-03 11:54 . 2009-10-03 11:54        --------        d-----w-        c:\temp\Office Project Professional 2007 (German)

2009-10-03 11:43 . 2009-10-03 11:43        --------        d-----w-        C:\Temp

2009-10-03 10:07 . 2009-10-03 10:07        --------        d-----w-        c:\programme\7-Zip

2009-09-27 20:07 . 2009-09-27 20:07        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Ashampoo

2009-09-27 20:07 . 2009-09-27 20:07        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Lokale Einstellungen\Anwendungsdaten\ashampoo

2009-09-27 20:07 . 2009-09-27 20:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo

2009-09-27 20:07 . 2009-09-27 20:07        --------        d-----w-        c:\programme\Ashampoo
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-26 03:37 . 2009-09-09 07:52        83400        ----a-w-        c:\dokumente und einstellungen\Goldfeder\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-10-26 03:18 . 1979-12-31 23:00        82188        ----a-w-        c:\windows\system32\perfc007.dat

2009-10-26 03:18 . 1979-12-31 23:00        454066        ----a-w-        c:\windows\system32\perfh007.dat

2009-09-24 14:06 . 2009-09-24 14:06        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\EPSON

2009-09-23 10:35 . 2009-09-23 10:35        --------        d-----w-        c:\programme\CCleaner

2009-09-22 09:39 . 2009-09-22 09:39        --------        d--h--w-        c:\programme\Zero G Registry

2009-09-18 19:55 . 2009-09-18 19:55        --------        d-----w-        c:\programme\Windows Media Connect 2

2009-09-18 19:19 . 2009-09-18 19:19        --------        d-----w-        c:\programme\SopCast

2009-09-17 16:10 . 2009-09-17 16:10        --------        d-----w-        c:\programme\PDFDrucker

2009-09-17 14:02 . 2009-09-17 14:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL

2009-09-17 13:57 . 2009-09-17 13:57        --------        d-----w-        c:\programme\epson

2009-09-15 08:19 . 2009-09-15 08:19        --------        d-----w-        c:\programme\Unity

2009-09-14 11:50 . 2009-09-14 11:50        0        ----a-w-        c:\windows\nsreg.dat

2009-09-13 15:31 . 2009-09-13 15:31        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\CyberLink

2009-09-11 14:31 . 1979-12-31 23:00        133632        ----a-w-        c:\windows\system32\msv1_0.dll

2009-09-11 00:29 . 2009-09-11 00:29        --------        d-----w-        c:\programme\MSXML 4.0

2009-09-10 09:29 . 2009-09-10 09:29        --------        d-----w-        c:\programme\Microsoft

2009-09-10 09:29 . 2009-09-10 09:29        --------        d-----w-        c:\programme\Windows Live SkyDrive

2009-09-10 09:29 . 2009-09-10 09:29        --------        d-----w-        c:\programme\Windows Live

2009-09-10 09:26 . 2009-09-10 09:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Windows Live

2009-09-09 14:20 . 2009-09-09 14:20        --------        d-----w-        c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\AdobeUM

2009-09-09 14:20 . 2009-09-09 14:20        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2009-09-09 11:22 . 2009-09-09 11:22        411368        ----a-w-        c:\windows\system32\deploytk.dll

2009-09-09 11:22 . 2009-09-09 11:22        --------        d-----w-        c:\programme\Java

2009-09-09 07:51 . 2009-09-09 07:51        --------        d-----w-        c:\programme\Avira

2009-09-09 07:51 . 2009-09-09 07:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2009-09-09 07:20 . 2009-09-09 07:20        --------        d-----w-        c:\programme\MSECache

2009-09-09 07:01 . 2009-09-09 07:01        --------        d-----w-        c:\programme\Microsoft Works

2009-09-09 07:01 . 2009-09-09 07:01        --------        d-----w-        c:\programme\MSBuild

2009-09-09 06:55 . 2009-09-09 06:55        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help

2009-09-09 06:46 . 2009-09-09 06:46        --------        d-----w-        c:\programme\Opera

2009-09-09 06:41 . 2009-09-09 06:41        --------        d-----w-        c:\programme\acer

2009-09-09 06:37 . 2009-09-09 06:37        --------        d-----w-        c:\programme\CyberLink

2009-09-09 06:36 . 2009-09-09 06:36        --------        d-----w-        c:\programme\ATI Technologies

2009-09-09 06:30 . 2009-09-09 06:30        --------        d-----w-        c:\programme\CONEXANT

2009-08-06 18:24 . 2004-09-13 11:31        327896        ----a-w-        c:\windows\system32\wucltui.dll

2009-08-06 18:24 . 2004-09-13 11:31        209632        ----a-w-        c:\windows\system32\wuweb.dll

2009-08-06 18:24 . 2008-10-16 13:09        44768        ----a-w-        c:\windows\system32\wups2.dll

2009-08-06 18:24 . 2004-09-13 11:31        35552        ----a-w-        c:\windows\system32\wups.dll

2009-08-06 18:24 . 2004-09-13 11:31        53472        ----a-w-        c:\windows\system32\wuauclt.exe

2009-08-06 18:24 . 1979-12-31 23:00        96480        ----a-w-        c:\windows\system32\cdm.dll

2009-08-06 18:23 . 2004-09-13 11:31        575704        ----a-w-        c:\windows\system32\wuapi.dll

2009-08-06 18:23 . 2009-09-10 13:26        215920        ----a-w-        c:\windows\system32\muweb.dll

2009-08-06 18:23 . 2009-09-10 13:26        274288        ----a-w-        c:\windows\system32\mucltui.dll

2009-08-06 18:23 . 2004-09-13 11:31        1929952        ----a-w-        c:\windows\system32\wuaueng.dll

2009-08-05 10:05 . 1979-12-31 23:00        206336        ----a-w-        c:\windows\system32\mswebdvd.dll

2009-07-29 05:48 . 1979-12-31 23:00        119808        ----a-w-        c:\windows\system32\t2embed.dll

2009-07-29 05:48 . 1979-12-31 23:00        82432        ----a-w-        c:\windows\system32\fontsub.dll

2009-07-28 15:33 . 2009-09-09 07:51        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]

"preload"="c:\windows\RUNXMLPL.exe" [2004-04-20 40960]

"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-02 32768]

"PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208]

"LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-03-29 61440]

"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2004-01-28 184320]

"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]

"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-03-03 77824]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]

"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]

"PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152]

"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-09 149280]

"EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304]

"PDFPrint"="c:\programme\PDFDrucker\PDFPrintBackend.exe" [2005-07-03 71080]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-02-23 77824]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

c:\dokumente und einstellungen\Goldfeder\Startmen�\Programme\Autostart\

OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\groove.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=

"c:\\Programme\\SopCast\\SopCast.exe"=
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.09.2009 08:51 108289]

R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [01.01.1980 200192]

R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [08.04.2005 15:44 2343]

S1 mailKmd;mailKmd; [x]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - MBR

*Deregistered* - mbr

.

Inhalt des "geplante Tasks" Ordners
 

2009-10-26 c:\windows\Tasks\MP Scheduled Scan.job

- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://global.acer.com/

uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/

IE: &Citavi Picker... - file://c:\programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Goldfeder\Anwendungsdaten\Mozilla\Firefox\Profiles\dv7hqhi3.default\

FF - prefs.js: browser.search.defaulturl - hxxp://suche.gmx.net/search/web/?origin=searchplugin&su=

FF - prefs.js: browser.search.selectedEngine - GMX Suche mit Google

FF - prefs.js: keyword.URL - hxxp://suche.gmx.net/search/web/?origin=searchplugin&su=

FF - prefs.js: network.proxy.type - 2

FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-26 05:09

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(856)

c:\windows\system32\Ati2evxx.dll

c:\windows\System32\BCMLogon.dll

.

Zeit der Fertigstellung: 2009-10-26  5:10

ComboFix-quarantined-files.txt  2009-10-26 04:10
 

Vor Suchlauf: 14 Verzeichnis(se), 19.229.179.904 Bytes frei

Nach Suchlauf: 18 Verzeichnis(se), 19.351.240.704 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect
 

- - End Of File - - 4828DDF02916485606615BC566C058C5

hi

wie verhält sich den dein System?

Ist stabil soweit ohne das ich irgendwelche Einschränkungen verspüre.

Vorhin hat mir der Windows Defender einen Trojaner gemeldet, welchen ich dann über diese Software "gelöscht" habe. Danach hab ich nochmal mit Kaspersky überprüft, ob die Infizierung passe ist. Leider nicht. Sprich, noch immer wird dort 1 Infizierung festgestellt.

Vielleicht ne etwas anfängerhafte Frage:

Ich hab gerade im Malware nach dem Inhalt im Reiter Quarantäne nachgesehen. Dort sind sämtliche FakeTrojanerAlerts und die sonstigen Parts von Cyber Security aufgelistet.

Kann ich bzw. soll ich diese dort löschen?

mfg
patrick

hi

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- Funde kannst löschen dann das Malwarebytes deinstallieren
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /Uninstall --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Hallo.

zu 1: C:\ Qoobox kann ich nicht finden. Allerdings ist noch ein Ordner ComboFix existent. Soll ich diesen löschen?

Die restlichen Vorgänge habe ich ausgeführt.

zu 2: durchgeführt

zu 3: ich weiß nicht, welche temporären Dateien vonnöten sind und welche nicht.

Meinst Du die nach diesem Pfade: (C:/Windows/Temp)?

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

Ich hab jetzt auch mal den Pkt. 4 durchgeführt

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 10/27/2009 at 11:33 AM
 

Application Version : 4.29.1004
 

Core Rules Database Version : 4197

Trace Rules Database Version: 2107
 

Scan type       : Complete Scan

Total Scan Time : 01:19:32
 

Memory items scanned      : 498

Memory threats detected   : 0

Registry items scanned    : 5645

Registry threats detected : 0

File items scanned        : 15338

File threats detected     : 3
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@weborama[2].txt

        C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Goldfeder\Cookies\goldfeder@atdmt[1].txt

Zitat:

Zitat von jessyblue (Beitrag 476214)

zu 3: ich weiß nicht, welche temporären Dateien vonnöten sind und welche nicht.

Meinst Du die nach diesem Pfade: (C:/Windows/Temp)?

ja, Inhalt markieren und löschen

Zitat:

Zitat von jessyblue (Beitrag 476214)

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

meinst "cleanmgr"?

Zitat:

Zitat von Coverflow (Beitrag 476358)

meinst "cleanmgr"?

Wie bitte? ;)
Ich hab die temporären Dateien nun gelöscht.

Soll ich das Gefundene aus SUPERAntiSpyware ebenfalls entfernen?

gruß

Zitat:

Zitat von jessyblue (Beitrag 476214)

Würde eine Datenträgerbereinigung automatisiert diesen Vorgang übernehmen?

na was meinst damit genau?

SUPERAntiSpyware - ja

Ich hatte aufgeschnappt, dass über eine Datenträgerbereinigung ebenfalls temporäre Dateien entfernt werden würden. Also über Systemprogramme --> Datenträgerbereinigung.

Daher fragte ich nach, da ich selbst nicht weiß, ob dies ebenfalls eine Methode gewesen wäre, diese Dateien zu löschen. Nun hab ichs ja manuell bewerkstelligt :-).

kannst Du ja ab und zu mal nutzen:
- Defragmentierung - Windows bietet dazu eine einfache Funktion in seiner Systemsteuerung - Alle Programme / Zubehör / Systemprogramme

Win2000 & Win XP - Eine Festplatte oder mehrere Festplatten mit Windows defragmentieren!

- Hast du sonst noch Probleme?

- Kannst du die Programme die wir verwendet haben und nicht brauchst entfernen, bis auf:

Code:

HijackThis/Trend Micro

hjtscanlist

CCleaner

Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

- Zum Schluss, scanne dein Sytem mit mindestens 3 Onlinescanner (Externe Sachen bitte anschliessen):
alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
- Einstellungen Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben - dies ist notwendig, damit auf deine Festplatte zugegriffen werden kann
- nach jedem Scanvorgang starte dein system neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code:

ESET Online Scanner
 bitdefender
 emsisoft
 Symantec Security Check