Trojaner-Board - Internet funktioniert nach Trojanerentfernung durch Malewarebytes nicht mehr !

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Internet funktioniert nach Trojanerentfernung durch Malewarebytes nicht mehr ! (https://www.trojaner-board.de/95122-internet-funktioniert-trojanerentfernung-malewarebytes-mehr.html)

Internet funktioniert nach Trojanerentfernung durch Malewarebytes nicht mehr !

Hallo liebes Trojaner Team,

ich habe folgendes Problem :

Seit einigen Tagen hatte ich die Fakesoftware von Antimaleware Doctor auf meinen PC. Diese habe ich dann durch Angaben aus euren Forum entfernen können. Und zwar habe ich erst durch die Software rkill den Prozess vom AMW Doctor unterbunden und dann mit Malewarebytes entfernt.
----------------------------------------------------------------

Hier der Log von Mbam:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.01.2011 16:49:06
mbam-log-2011-01-27 (16-49-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 164219
Laufzeit: 14 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
c:\program files\daemon tools searchbar\Search.exe (Adware.WhenU) -> 2052 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IJKUK66HMN (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\X3EKEPXJP2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WhenUSearch (Adware.WhenU) -> Value: WhenUSearch -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Value: 56avmd10100ctrl.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IJKUK66HMN (Trojan.FakeAlert) -> Value: IJKUK66HMN -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.208,93.188.160.128) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{A247FC7D-1115-4D42-A836-19C36302A767}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.163.208,93.188.160.128) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\daemon tools searchbar\Search.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\documents and settings\***\application data\303c9d1ef2272ef1cb1711aba65d5310\56avmd10100ctrl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\***\local settings\Temp\noaexwcsrm.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\***\local settings\Temp\msgpl_0154.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\***\local settings\temporary internet files\Content.IE5\Z901OPO1\updtlink700cor[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

--------------------------------------------------------------------

Nach dem Neustart war zwar der Antimaleware Doctor weg, aber das Internet funktioniert nicht mehr - Seiten Ladefehler.

Als ich die Netzwerkeinstellungen überprüfen wollte, kam folgende Fehlermeldung :

The Network Connections Folder was unable to retrieve the list of Network adapters on your machine.
Please make sure that the Network Connections service is enabled and running.

Ich bin gerade dabei einen kompletten Scan von Mbam durchzuführen falls ihr diesen benötigt. (aktueller status : 12min laufzeit - 1 infiziertes objekt).

Ich hoffe allerdings das sich das Problem, jetzt schon lösen lässt. Falls ihr weitere Informationen benötigt, sagt nur Bescheid.

Danke für eure Hilfe im Vorraus.
Mit freundlichen Grüßen.

Poste das Log vom Vollscan wenn es durch ist.
Danach OTL ausführen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hey Arne,

danke erstmal für die Hilfe. Hier die von dir geforderten files. Zu erst das Mbamlog. (Welcher zwar vollständig ist, aber kürzer wirkt, weil vermutlich ein großteil durch den quickscan gefixt wurde)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.01.2011 19:07:50
mbam-log-2011-01-27 (19-07-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 337028
Laufzeit: 1 Stunde(n), 50 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\documents and settings\Admin\application data\303c9d1ef2272ef1cb1711aba65d5310\upd_debug.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\programme\hd_speed.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d779008f-8bd4-4fe5-b86b-d6c940b601ca}\RP471\A0057298.dll (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d779008f-8bd4-4fe5-b86b-d6c940b601ca}\RP473\A0057364.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Die beiden OTL logs sind etwas größer und findest du deshalb im Anhang.. (hoffe das das funktioniert)

liebe grüße.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: [Onoremawixori] C:\WINDOWS\ugosicogotob.dll ()

O4 - HKCU..\Run: [Fzaxide]  File not found

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Program Files\softonic-de3\tbsoft.dll (Conduit Ltd.)

[2011.01.25 18:06:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Local Settings\Application Data\{4917DA8C-FF9E-4BB3-9938-37CEC57BD659}

[2011.01.25 18:04:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Application Data\303C9D1EF2272EF1CB1711ABA65D5310

[2011.01.09 22:56:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Application Data\PriceGong

[2011.01.27 15:22:25 | 000,018,920 | ---- | M] () -- C:\WINDOWS\Vduso.dat

[2011.01.26 13:40:51 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Tjuqoze.bin

[2011.01.25 18:06:23 | 000,018,920 | ---- | C] () -- C:\WINDOWS\Vduso.dat

[2011.01.25 18:06:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Tjuqoze.bin

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hey Arne,

hier der Log vom OTL FIX im Anhang.

Danke bis hierhin !

Edit: Je nachdem ob ich am Wochenende noch im Büro bin, kann es sein das ich erst am Montag auf weitere Instruktionen reagieren kann. Wollte nur das du Bescheid weißt.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hey,

ich kann den CCleaner nicht öffnen weil AVG Free Antivir installiert ist.
Der CCleaner bittet mich dieses zu deinstallieren oder ein anderes Programm zu benutzen.

Ich habe das Programm natürlich vorher beendet. Warum trotzdem diese Meldung?

Als ich dann versucht habe AVG zu deinstallieren, kam folgende Fehlermeldung :

Arbeitsplatz: Installation fehlgeschlagen
Installation:
Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen.
Error 0x80070005

Wie fahre ich denn nun weiter fort?

Langsam eilt es, weil es sich um den Firmen Pc handelt und daran natürlich fleißig gearbeitet werden muss.

Zitat:

Langsam eilt es, weil es sich um den Firmen Pc handelt und daran natürlich fleißig gearbeitet werden muss.

Achja und was sagt die IT-Abteilung dazu?
Wenn es eilt und ein Firmen-PC ist, meinst du nicht auch, dass ein Forum evtl nicht ganz so geeignet sein könnte? :balla:

Schau auf der AVG-Homepage nach, da gibt es einen Uninstaller.

Hey,

ich sehe auch gerade ComboFix und CCleaner ist doch eigentlich was ganz anderes oder?

Aufjedenfall hat die Deinstallation von AVG funktioniert und ComboFix läuft gerade.

Im Anhang findest du die Log-Datei.

Ich konnte die Wiederherstellungskonsole nicht installieren, weil ich ja über keine Internetverbindung verfüge. (Bzw das ja nicht geht). Es gibt noch die Möglichkeit eine Windowsboot-Disk Datei mit ComboFix auszuführen um sie zu installieren. Ging aber leider nicht. Eine Reihe Fehlermeldungen das er die IE oder Firefox.exe nicht findet. Ich weiß jetzt nicht wie wichtig die Konsole für den weiteren Verlauf ist. Hast du sonst eine Idee ? (fyi : Keine Windows CD vorhanden)

Btw: Nicht jede Firma hat einen Informatiker oder gleich eine ganze Abteilung dafür. Von daher ist dieses Forum, welches ich sehr schätze, der beste Weg. Ein Techniker anforderen braucht Zeit und kostet zuviel Geld. Ist doch schön, wenn euch soviele User vertrauen ;)

Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.

http://i94.photobucket.com/albums/l8...ungskonsol.png

Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt)

http://i94.photobucket.com/albums/l8...onsole_ani.gif

Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
Bitte poste mir den Inhalt von C:\ComboFix.txt hier in den Thread.

Ok, ist erledigt.

Hatte ich eigentlich wie oben beschrieben ja schon versucht. Aber aufeinmal hat es geklappt.

Wie geht es jetzt weiter ?

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur einige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Kurze Verständnisfrage :

Wenn ich wie du sagtest, den Online Teil von Osam überspringen soll, dann erstellt das Programm aber auch kein log File das ich dir posten kann. Jedenfalls verstehe ich es so aus der Anleitung.

Also was tun?

Ok, vielleicht nur falsch verstanden.

Ich hab jetzt denk ich alles. Ob das Osam Log richtig ist, siehst du hier :

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 19:53:20 on 31.01.2011
 

OS: Windows XP Home Edition Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17093
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"ISUSPM.cpl" - "Macrovision Corporation" - C:\WINDOWS\system32\ISUSPM.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl

"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"a48asdbw" (a48asdbw) - ? - C:\WINDOWS\system32\drivers\a48asdbw.sys  (Hidden registry entry, rootkit activity | File not found)

"acedrv11" (acedrv11) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv11.sys

"AMD HwPState Prozessortreiber" (AmdPPM) - ? - C:\WINDOWS\System32\DRIVERS\AmdPPM.sys  (File not found)

"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"kwtdypoc" (kwtdypoc) - ? - C:\DOCUME~1\Admin\LOCALS~1\Temp\kwtdypoc.sys  (Hidden registry entry, rootkit activity | File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"mbr" (mbr) - ? - C:\cofi32052c\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"Microsoft UAA Bus Driver for High Definition Audio" (HDAudBus) - "Windows (R) Server 2003 DDK provider" - C:\WINDOWS\System32\DRIVERS\HDAudBus.sys

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys

"PQNTDrv" (PQNTDrv) - "PowerQuest Corporation" - C:\WINDOWS\system32\drivers\PQNTDrv.sys

"Skype Webcam" (DCamUSBTP10) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\TP6810.sys

"SoundTap Recorder" (NCHSSVAD) - "NCH Swift Sound" - C:\WINDOWS\System32\drivers\nchssvad.sys

"sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys  (File is exclusively opened, access blocked)

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL

{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{8E2DB1CD-C872-4BD1-9874-DAD811EF44D2} "cmConvertPDF" - ? - C:\PROGRA~1\PDFCON~1\PDFCON~2.DLL  (File found, but it contains no detailed information)

{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll

{42071714-76d4-11d1-8b24-00a0c9068ff3} "Display Panning CPL Extension" - ? - deskpan.dll  (File not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Encryption Context Menu" - ? -   (File not found | COM-object registry key not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll

{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll

{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\System32\nvshell.dll

{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell extensions for file compression" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_13" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_13.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab

{31435657-9980-0010-8000-00AA00389B71} "{31435657-9980-0010-8000-00AA00389B71}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{9999A076-A9E2-4C99-8A2B-632FC9429223} "Bonjour" - "Apple Inc." - C:\Program Files\Bonjour\ExplorerPlugin.dll

{5F7B1267-94A9-47F5-98DB-E99415F33AEC} "In Blog veröffentlichen" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

{353e2a48-6254-4bd3-88f4-3b51a0ca7870} "COMPUTERBILD-Abzockschutz" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{2e250b90-0e7a-42a3-9d65-e39f9f227fa4} "CBAbzockschutz.InitToolbarBHO" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}" - ? -   (File not found | COM-object registry key not found)
 

[Logon]

-----( %AllUsersProfile%\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Documents and Settings\All Users\Start Menu\Programs\Startup\desktop.ini

"McAfee Security Scan Plus.lnk" - "McAfee, Inc." - C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe  (Shortcut exists | File exists)

"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)

-----( %UserProfile%\Start Menu\Programs\Startup )-----

"desktop.ini" - ? - C:\Documents and Settings\Admin\Start Menu\Programs\Startup\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----

"DAEMON Tools" - "DT Soft Ltd." - "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"ArcSoft Connection Service" - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe

"EEventManager" - "SEIKO EPSON CORPORATION" - C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe

"ISUSPM" - "Macrovision Corporation" - "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

"iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe"

"nwiz" - "NVIDIA Corporation" - nwiz.exe /install

"PDFPrint" - "Geek Software GmbH" - C:\Program Files\pdf24\pdf24.exe

"QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\qttask.exe" -atboottime

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Java\jre6\bin\jusched.exe"
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Bullzip PDF Print Monitor" - "BullZip" - C:\WINDOWS\system32\bzpdf.dll
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

"Application Management" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe

"ForceWare IP service" (nSvcIp) - "NVIDIA Corporation" - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

"ForceWare user log service" (nSvcLog) - "NVIDIA Corporation" - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

"Forceware Web Interface" (ForcewareWebInterface) - "Apache Software Foundation" - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe

"IviRegMgr" (IviRegMgr) - "InterVideo" - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jqs.exe

"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

"McAfee Security Scan Component Host Service" (McComponentHostService) - "McAfee, Inc." - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Software Installation" - ? - appmgmts.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

Alle anderen Files sind im Anhang.

Danke nochmal für deine Unterstützung.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

ich führe den Vollscan gerade durch. Es wurden aber noch 2 infizierte Dateien, bis jetzt, gefunden. Kann ich diese denn löschen oder willst du erst sehen worum es sich handelt?

So bin fertig.

Bei der Super Antispyware, wollte ich gar nicht das er alles löscht, was er gefunden hat bevor du es nicht sagst. Aber mir blieb nur der Klick auf NEXT um die Logdatei anzusehen, neue Version wohl. Und bei next hat er automatisch alles entfernt und neugestartet. Hoffe das ist nicht schlimm.

Bei Maleware hat er noch 3 Dateien gefunden. Was mit denen jetzt?

Im Anhang die Dateien.

Zitat:

c:\documents and settings\Admin\Desktop\profilelinkbuilder.exe (Trojan.FakeMS) -> No action taken.

c:\documents and settings\Admin\Desktop\Icemark.exe (Trojan.Backdoor) -> No action taken.

c:\_OTL\movedfiles\01282011_193536\c_windows\ugosicogotob.dll (Trojan.Hiloti) -> No action taken.

Die ersten beiden sind Programme (EXE-Dateien), die auf dem Desktop des Admins liegen. Da du wohl der Admin bist, solltest du auch wissen was das ist. profilelinkbuilder und Icemark sollten dir Begriffe sein.
Der dritte Eintrag ist eine Datei, die wir mit OTL in die Quarantäne verschoben haben, dort ist sie isoliert und ungefährlich.

SASW hat nur Cookies und Überreste gefunden, zudem hat's sich einen Fehlalarm bei WinRAR geleistet.

Rechner soweit wieder ok?

Hey Arne,

sieht bisher alles wunderbar aus. Keine Fehlermeldungen beim Start, keine Behinderung der Abläufe etc.

Wirklich vielen Dank für deine Hilfe dabei.

Eine abschließende Frage habe ich allerdings noch :

Wir bewegen uns sehr viel im Internet und sind auf Grund von Recherchen öfter auf fragwürdigen Seiten unterwegs.

Den Virus hab ich mir glaub ich einfangen, weil ich eine Freeware für den Etikettendruck runtergeladen hab. Leider lässt sich sowas nicht immer vermeiden.

Jetzt die Frage, wie kann man sich denn am besten davor schützen? Muss es gleich ein "teures" Antivirenprogramm sein, oder kann ich einige der Vorgänge , welche wir durchgenommen haben, öfter mal zur Kontrolle machen. Oder muss man immer warten bis es zu spät ist? Oder kennst du ein anderes effektives Tool - am besten natürlich kostenloses, welches solchen Aktionen vorbeugt ?

Wäre freundlich wenn du mir zum Schluss noch darauf antwortest.

Trotzdem nochmal vielen Dank.

Liebe Grüße

miba

Ein Virenscanner hilft da nicht wirklich. Ihr solltet mal über kommerziellen Support nachdenken. Wenn man als Firma am falschen Ende spart, kann das hinterher sehr teuer werden.

Zitat:

Oder kennst du ein anderes effektives Tool - am besten natürlich kostenloses, welches solchen Aktionen vorbeugt ?

Das allerwichtigste ist kein Tool, sondern eine Maßnahme: regelmäßige Backups!!!