Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   40 TAN's Trojaner - Reparieren oder Formatieren? (https://www.trojaner-board.de/89462-40-tans-trojaner-reparieren-formatieren.html)

LeG 13.08.2010 21:37
40 TAN's Trojaner - Reparieren oder Formatieren?
 
Hallo!

Wie ich im Forum gelesen habe, gibt es keine allgemeingültige Anleitung, um den 40 TAN's Trojaner zu entfernen?!

Da es beim Online-Banking um viel Geld gehen kann, möchte ich zunächst gerne wissen, ob man das System reparieren und anschließend schützen kann, sodass man sicher ist?
Oder ist eine Formatierung hier die bessere Variante?

Sollte ich die Formatierung wählen, ist der Trojaner dann zu 100% entfernt oder besteht ein Restrisiko, dass er sich irgendwo eingenistet hat? Ich frage deshalb, da die Laptops heute nicht mehr mit einer Betriebssystem-CD verkauft werden, sondern nur noch ein Recovery-Tool besitzen. Desweiteren muss ich einige Daten unbedingt behalten (für die Uni, unter anderem .doc, .jpg, .mp3,... etc.). Kann sich hier ein Trojaner einnisten?


Die sicherste Variante wäre mir die liebste. Ich nehme an, es ist die Formatierung?! Welche Schutzmaßnahmen sind nach der Formatierung durchzuführen, welche Programme (Anti-Viren-Trojaner-Spyware-etc.), sollte ich mir aufspielen? Reichen Freeware Programme aus?

Danke!


Edit: Soll ich Logs Posten?

markusg 13.08.2010 21:57
formatieren ist das sicherste, ich hätte aber erst gern nen blick aufs system geworfen.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide logs

LeG 13.08.2010 22:37
Hier sind die Logs. OTL musste ich auf Grund der Größe teilen.

wie bekomme ich die Logs in meine Antwort? Habe es nur geschafft es anzuhängen oder wäre "kopieren und einfügen" auch gegangen?

markusg 13.08.2010 23:01
hättest auch reinkopieren können mit einfügen.

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-3750558958-722459407-3709898320-1000..\Run: [{2639D8AC-60D3-0725-7854-653016F3C8D0}] C:\Users\Steffen\AppData\Roaming\Syhe\ohle.exe (ls)
[2010.08.13 23:01:10 | 000,000,000 | ---D | M] -- C:\Users\Steffen\AppData\Roaming\Ezmu
[2010.04.10 21:41:35 | 000,000,000 | ---D | M] -- C:\Users\Steffen\AppData\Roaming\pokerth
[2009.10.14 00:04:44 | 000,000,000 | ---D | M] -- C:\Users\Steffen\AppData\Roaming\Syhe
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


danach öffne "mein computer" (arbeitsplatz. dort öffne _OTL und dort nen rechtsklick auf moved files
packe den ordner mit winzip oder rar. lad ihn zu uns hoch, wie unter punkt2 beschrieben.
http://www.trojaner-board.de/54791-a...ner-board.html

LeG 13.08.2010 23:22
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3750558958-722459407-3709898320-1000\Software\Microsoft\Windows\CurrentVersion\Run\\{2639D8AC-60D3-0725-7854-653016F3C8D0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2639D8AC-60D3-0725-7854-653016F3C8D0}\ not found.
File C:\Users\Steffen\AppData\Roaming\Syhe\ohle.exe not found.
C:\Users\Steffen\AppData\Roaming\Ezmu folder moved successfully.
C:\Users\Steffen\AppData\Roaming\pokerth\log-files folder moved successfully.
C:\Users\Steffen\AppData\Roaming\pokerth\data folder moved successfully.
C:\Users\Steffen\AppData\Roaming\pokerth\cache folder moved successfully.
C:\Users\Steffen\AppData\Roaming\pokerth folder moved successfully.
C:\Users\Steffen\AppData\Roaming\Syhe folder moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Steffen
->Flash cache emptied: 29764 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Steffen
->Temp folder emptied: 38092888 bytes
->Temporary Internet Files folder emptied: 47598717 bytes
->Java cache emptied: 12162308 bytes
->FireFox cache emptied: 34472897 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 555296 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 372796 bytes
RecycleBin emptied: 2656 bytes

Total Files Cleaned = 127,00 mb


OTL by OldTimer - Version 3.2.9.1 log created on 08142010_000930

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...




Datei ist hochgeladen!

markusg 13.08.2010 23:27
hatt leider net geklappt. versuchs mit combofix
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
packe dann den ordner qoobox bzw im qoobox den quarantäne ordner und lad ihn hoch.

LeG 14.08.2010 00:03
Combofix Logfile:
Code:
ComboFix 10-08-12.03 - Steffen 14.08.2010  0:36.1.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.3066.1831 [GMT 2:00]
ausgeführt von:: c:\users\Steffen\Downloads\ComboFix.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\%appdata%

.
(((((((((((((((((((((((  Dateien erstellt von 2010-07-13 bis 2010-08-13  ))))))))))))))))))))))))))))))
.

2010-08-13 22:43 . 2010-08-13 22:46        --------        d-----w-        c:\users\Steffen\AppData\Local\temp
2010-08-13 22:43 . 2010-08-13 22:43        --------        d-----w-        c:\users\Default\AppData\Local\temp
2010-08-13 22:09 . 2010-08-13 22:20        --------        d-----w-        C:\_OTL
2010-08-13 19:48 . 2010-08-13 19:48        --------        d-----w-        c:\programdata\WindowsSearch
2010-08-13 19:35 . 2010-08-13 19:35        --------        d-----w-        c:\users\Steffen\AppData\Roaming\SUPERAntiSpyware.com
2010-08-13 19:35 . 2010-08-13 19:35        --------        d-----w-        c:\programdata\SUPERAntiSpyware.com
2010-08-13 19:35 . 2010-08-13 19:35        --------        d-----w-        c:\program files\SUPERAntiSpyware
2010-08-13 19:32 . 2010-08-13 19:32        --------        d-----w-        c:\users\Steffen\AppData\Roaming\Malwarebytes
2010-08-13 19:32 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-13 19:32 . 2010-08-13 19:32        --------        d-----w-        c:\programdata\Malwarebytes
2010-08-13 19:32 . 2010-08-13 19:32        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2010-08-13 19:32 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-08-13 00:43 . 2010-08-13 00:43        --------        d-----w-        c:\programdata\TomTom
2010-08-13 00:43 . 2010-08-13 00:43        --------        d-----w-        c:\users\Steffen\AppData\Roaming\TomTom
2010-08-13 00:43 . 2010-08-13 00:43        --------        d-----w-        c:\users\Steffen\AppData\Local\TomTom
2010-08-13 00:43 . 2010-08-13 00:43        --------        d-----w-        c:\program files\TomTom International B.V
2010-08-13 00:43 . 2010-08-13 00:43        --------        d-----w-        c:\program files\TomTom HOME 2
2010-08-13 00:42 . 2010-08-13 00:42        --------        d-----w-        c:\program files\TomTom DesktopSuite
2010-08-03 00:22 . 2010-08-03 00:22        --------        d-----w-        c:\users\Steffen\AppData\Local\Apps
2010-07-26 18:18 . 2010-07-26 18:18        --------        d-----w-        c:\program files\Microsoft FrontPage
2010-07-26 11:07 . 2010-07-26 11:07        --------        d-----w-        c:\users\Default\AppData\Local\Microsoft Help
2010-07-26 00:23 . 2010-07-26 00:23        --------        d-----w-        c:\users\Steffen\AppData\Roaming\Microsoft Web Folders

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-13 22:22 . 2008-01-21 07:15        628742        ----a-w-        c:\windows\system32\perfh007.dat
2010-08-13 22:22 . 2008-01-21 07:15        126454        ----a-w-        c:\windows\system32\perfc007.dat
2010-08-13 19:36 . 2010-08-13 19:36        63488        ----a-w-        c:\users\Steffen\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-08-13 19:36 . 2010-08-13 19:36        52224        ----a-w-        c:\users\Steffen\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-08-13 19:36 . 2010-08-13 19:36        117760        ----a-w-        c:\users\Steffen\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-08-13 19:27 . 2009-06-10 19:02        2528        ----a-w-        c:\users\Steffen\AppData\Roaming\wklnhst.dat
2010-08-11 20:38 . 2008-11-20 10:24        --------        d-----w-        c:\program files\Microsoft Works
2010-08-11 20:34 . 2008-11-20 10:27        --------        d-----w-        c:\programdata\Microsoft Help
2010-08-11 20:34 . 2006-11-02 11:18        --------        d-----w-        c:\program files\Windows Mail
2010-08-10 21:49 . 2008-11-20 09:32        --------        d-----w-        c:\program files\Common Files\Java
2010-08-10 21:49 . 2008-11-20 09:33        --------        d-----w-        c:\program files\Java
2010-08-02 18:12 . 2010-04-15 20:35        1        ----a-w-        c:\users\Steffen\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-28 00:28 . 2010-02-16 18:35        --------        d-----w-        c:\program files\PokerStars.NET
2010-07-27 08:31 . 2009-05-20 17:14        89456        ----a-w-        c:\users\Steffen\AppData\Local\GDIPFONTCACHEV1.DAT
2010-07-25 00:12 . 2009-05-21 17:45        --------        d-----w-        c:\program files\Mozilla
2010-07-17 03:00 . 2010-06-22 14:19        423656        ----a-w-        c:\windows\system32\deployJava1.dll
2010-07-03 21:33 . 2008-11-20 10:28        --------        d-----w-        c:\program files\Microsoft.NET
2010-07-03 17:55 . 2010-07-03 17:55        --------        d-----w-        c:\users\Steffen\AppData\Roaming\DVDVideoSoftIEHelpers
2010-07-03 17:54 . 2009-05-30 20:01        --------        d-----w-        c:\program files\Common Files\DVDVideoSoft
2010-06-28 20:57 . 2010-06-29 14:21        38848        ----a-w-        c:\windows\avastSS.scr
2010-06-28 20:57 . 2010-06-20 09:15        165032        ----a-w-        c:\windows\system32\aswBoot.exe
2010-06-28 20:37 . 2010-06-20 09:16        46672        ----a-w-        c:\windows\system32\drivers\aswTdi.sys
2010-06-28 20:37 . 2010-06-20 09:16        165456        ----a-w-        c:\windows\system32\drivers\aswSP.sys
2010-06-28 20:33 . 2010-06-20 09:16        23376        ----a-w-        c:\windows\system32\drivers\aswRdr.sys
2010-06-28 20:32 . 2010-06-20 09:16        50256        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2010-06-28 20:32 . 2010-06-20 09:16        17744        ----a-w-        c:\windows\system32\drivers\aswFsBlk.sys
2010-06-28 12:04 . 2010-06-28 09:43        --------        d-----w-        c:\users\Steffen\AppData\Roaming\Verbindungsassistent
2010-06-28 09:41 . 2010-06-28 09:41        --------        d-----w-        c:\program files\Verbindungsassistent
2010-06-28 09:41 . 2010-06-28 09:42        621056        ----a-w-        c:\windows\system32\drivers\mod7700.sys
2010-06-28 09:41 . 2010-06-28 09:42        23424        ----a-w-        c:\windows\system32\drivers\ewdcsc.sys
2010-06-26 06:05 . 2010-08-11 20:32        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-11 20:32        71680        ----a-w-        c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-11 20:32        109056        ----a-w-        c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-11 20:32        133632        ----a-w-        c:\windows\system32\ieUnatt.exe
2010-06-23 07:15 . 2010-06-23 07:15        680        ----a-w-        c:\users\Steffen\AppData\Local\d3d9caps.dat
2010-06-21 13:37 . 2010-08-11 20:32        2037760        ----a-w-        c:\windows\system32\win32k.sys
2010-06-20 09:15 . 2010-06-20 09:15        --------        d-----w-        c:\programdata\Alwil Software
2010-06-20 09:15 . 2009-05-21 19:38        --------        d-----w-        c:\program files\Alwil Software
2010-06-20 09:10 . 2010-01-18 01:28        --------        d-----w-        c:\program files\a-squared Free
2010-06-18 17:31 . 2010-08-11 20:32        36864        ----a-w-        c:\windows\system32\rtutils.dll
2010-06-18 15:04 . 2010-08-11 20:32        302080        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-06-18 15:04 . 2010-08-11 20:32        144896        ----a-w-        c:\windows\system32\drivers\srv2.sys
2010-06-16 16:04 . 2010-08-11 20:32        905088        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2010-06-11 16:16 . 2010-08-11 20:32        274944        ----a-w-        c:\windows\system32\schannel.dll
2010-06-11 16:15 . 2010-08-11 20:32        1248768        ----a-w-        c:\windows\system32\msxml3.dll
2010-06-08 17:35 . 2010-08-11 20:32        3548040        ----a-w-        c:\windows\system32\ntoskrnl.exe
2010-06-08 17:35 . 2010-08-11 20:32        3600768        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2010-05-27 20:08 . 2010-08-11 20:32        81920        ----a-w-        c:\windows\system32\iccvid.dll
2010-05-26 17:06 . 2010-07-03 21:30        34304        ----a-w-        c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-07-03 21:30        289792        ----a-w-        c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-10-03 15:44        221568        ------w-        c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-08-24 7719456]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2008-08-18 431456]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-12-15 184320]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Toshiba TEMPO"="c:\program files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe" [2008-08-26 103824]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2007-09-19 438272]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2008-06-24 509816]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-08-24 1833504]
"NDSTray.exe"="NDSTray.exe" [BU]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"HWSetup"="c:\program files\TOSHIBA\Utilities\HWSetup.exe" [2007-04-16 421888]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2007-10-31 54608]
"HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-05-20 716800]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2008-09-24 727608]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-06-28 2837864]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-4-15 2979144]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\Toshiba\TRDCReminder\TRDCReminder.exe [2008-3-5 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AutoStart IR.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Steffen^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Steffen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^Steffen^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Steffen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16        39792        ----a-w-        c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
2008-09-26 12:22        417792        ----a-w-        c:\program files\Camera Assistant Software for Toshiba\traybar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KeNotify]
2006-11-06 16:14        34352        ----a-w-        c:\program files\Toshiba\Utilities\KeNotify.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)]
2010-04-29 10:19        1090952        ----a-w-        c:\program files\Malwarebytes' Anti-Malware\mbam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2010-07-19 17:50        2403568        ----a-w-        c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2010-06-24 14:41        247144        ----a-w-        c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Toshiba Registration]
2008-01-11 02:07        574864        ----a-w-        c:\program files\Toshiba\Registration\ToshibaRegistration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2009-12-23 19:18        2642168        ----a-w-        c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):d0,96,90,1c,0b,e1,c9,01

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 gtstusbser;Option210 USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\gtstusbser.sys [x]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\Drivers\hcw95bda.sys [2008-09-09 562176]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\DRIVERS\hcw95rc.sys [2008-09-09 15616]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-09-09 99216]
R3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
R3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
R3 TpChoice;Touch Pad Detection Filter driver;c:\windows\system32\DRIVERS\TpChoice.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-05-15 136176]
S1 aswSP;aswSP; [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-06-28 50256]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-09-05 40960]
S2 TempoMonitoringService;Notebook Performance Tuning Service ;c:\program files\Toshiba TEMPRO\TempoSVC.exe [2008-08-26 99720]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [2010-06-24 92008]
S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2008-07-15 106496]
S2 WTGService;WTGService;c:\program files\Verbindungsassistent\WTGService.exe [2009-03-03 296400]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-11-17 3668480]
S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-08-25 77824]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-08-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-15 22:01]

2010-08-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-15 22:01]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2102572
mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA
IE: Free YouTube to Mp3 Converter - c:\users\Steffen\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
TCP: {04302E6D-D44C-4A31-9610-60813B57E014} = 213.191.92.87 62.109.123.197
FF - ProfilePath - c:\users\Steffen\AppData\Roaming\Mozilla\Firefox\Profiles\8j74ji9b.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\program files\Mozilla\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
HKLM-Run-WinCast - f:\cdsetup\setup.exe
MSConfigStartUp-cfFncEnabler - cfFncEnabler.exe
MSConfigStartUp-Google Desktop Search - c:\program files\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-Google EULA Launcher - c:\program files\Google\Google EULA\GoogleEULALauncher.exe
MSConfigStartUp-mcagent_exe - c:\program files\McAfee.com\Agent\mcagent.exe
MSConfigStartUp-NotebookHardwareControl - c:\program files\Notebook Hardware Control\nhc.exe
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-14 00:46
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-3750558958-722459407-3709898320-1000\Software\SecuROM\License information*]
"datasecu"=hex:22,00,93,a2,83,da,b5,7d,22,0f,8c,a0,21,de,d8,96,44,bc,9d,1b,c1,
  95,7f,9e,09,c8,97,29,00,9c,da,55,fe,ea,8b,a8,a3,a0,00,c1,26,37,13,c6,58,a5,\
"rkeysecu"=hex:26,94,47,22,e6,0d,f2,27,0c,3e,b9,07,10,8f,f4,0a

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
c:\windows\system32\TODDSrv.exe
c:\program files\Toshiba\Power Saver\TosCoSrv.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\conime.exe
c:\program files\Toshiba\ConfigFree\NDSTray.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\ConfigFree\CFSwMgr.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\program files\Toshiba\HDMICtrlMan\HCMSoundChanger.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-14  00:54:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-13 22:53

Vor Suchlauf: 11 Verzeichnis(se), 68.529.229.824 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 68.240.838.656 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10
- - End Of File - - 90838FC44F19C6E0102C57C1B964E05E
--- --- ---



Datei hochgeladen!

markusg 14.08.2010 11:10
ok zu erst formatiere deinen pc. dann solltest du windows updates einspielen, servicepack 2 und ie 8.
dann antivirus

Standard nutzer einrichten.
obwohl windows vista die uac hatt, ist es besser, ein eingeschrenktes nutzerkonto einzurichten. standard und admin konto sollten natürlich beide passwort
geschützt sein.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.
wenn du jetzt auf das neue konto klickst, kannst du ein kennwort vergeben, das solltest du natürlich auch für das admin konto machen.

unter admin folgendes:

dep für alle prozesse:
http://www.winfaq.de/faq_html/Conten...?h=tip2323.htm

• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

nutze ab sofort den firefox
Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe
für firefox folgende plugins
noscript:
http://filepony.de/download-noscript//
deaktiviert alle möglichen arten von scripten, java etc.
wenn du ne seite unbedingt zu den ausnamen hinzufügen musst, rechtsklick auf die seite, noscript, temporär alle beschrenkungen aufheben, heißt für den
besuch der seite, oder alle beschrenkungen aufheben, heißt für immer, außer du machst es rückgängig.
adblock zum werbung blockieren.
http://filepony.de/download-adblock_firefox//
filterlisten:
Adblock Plus: Bekannte Filterlisten für Adblock Plus
nimmst 2 deutsche + malware blocklist.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
http://drop.io/subsetlines/asset/san...lungen-04-2009

(als pdf)
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
instaliere dir update checker.
secunia:
http://www.chip.de/downloads/Secunia..._28151435.html
file hippo:
FileHippo.com - Download Free Software
jetzt nur noch im standard nutzerkonto (gastkonto( surfen. wenn du die ganzen tipps einhälltst sollte es malware schwer fallen auf dem system fuß zu fassen.


du solltest dich bei der bank erkundigen ob folgende sichere verfahren möglich sind:
kombination aus hbci /FinTS verfahren
das FinTS verfahren als einzel lösung
oder
hbci-verfahren als einzellösung.

LeG 14.08.2010 15:54
Recht herzlichen Dank für die kompetente Hilfe.

Aber noch eine Frage zum Schluss. Ist der Trojaner nun entfernt worden?
Was haben die Logs ans Licht gebracht?

markusg 14.08.2010 16:09
wenn du formatiert hast, ist der trojaner weg.

LeG 14.08.2010 16:24
hm ok. für was war dann otl, combofix usw. gut?
hat mir das irgendeinen nutzen gebracht?


ich frage, weil ich mich damit nicht auskenne. ich weiß nicht, wofür ich das gemacht habe.

markusg 14.08.2010 16:26
weil ich einige der trojaner dateien einsammeln wollte, dies bringt dich aber nicht ums formatieren, wenn du wieder beruhigt online banking betreiben willst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131