| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-KashWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.08.2011, 10:21
| #1 |
 |  BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Guten Tag, habe mir einen Virus, Trojaner oder was auch immer eingefangen. Ich habe mir ein Video angeschaut und aufmal wird der Bildschirm weiß und ich soll 100 Euro via U-Kash überweisen, damit mein Desktop wieder freigegeben wird. Ich habe jetzt wieder die Kontrolle über meinen Rechner erlangt, in dem ich im abgesicherten Modus eine Systemwiederherstellung gemacht habe. Habe dann direkt in dem Modus ein Fullscan mit MSE gemacht und S&D. Habe einige Trojaner entfernt. Alle hatten etwas mit Java zu tun. Habe dann den Firefox Ordner gelöscht und neu gestartet. Dann habe ich Malwarebytes durchlaufen lassen. Full-Scan und Flashscan. Habe dann weitere 6 Viren gelöscht. Diese waren aber "harmlos". Waren alles Keylogger versteckt in exe Datein, die ich schon seit Jahren nicht mehr verwendet habe. Habe jetzt einen Scan mit OTL gemacht. Wäre nett, wenn jemand noch mal drüber schauen könnte, ob jetzt wirklich alles wieder in Ordnung ist. Als nächstes lasse ich nochmal nach Anleitung einen Rootkit-Scanner durchlaufen. Wäre über jede Hilfe dankbar, denn ich möcht mich wieder etwas sicherer fühlen. Traue den Scans meiner Antivirus, Antimalware und co nicht mehr  Vielen Dank im Vorraus. Mfg der Gebeutelte. Moin nochmal. Habe nun einen Scan gemacht. Keine Ahnung was mir das sagen soll. Vielleicht kann hier jemand was damit anfangen. Mfg Gebeutelt. |
|
09.08.2011, 13:02
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-KashZitat:
__________________ |
|
09.08.2011, 17:49
| #3 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Hallo,
__________________hier einmal die Logs von Malwarebytes. Ich weiß nicht wie ich den Verlauf von MSE extrahiere. Weiß das wer? S&D hatte gar nichts gefunden. Das hat irgendwie noch nie was gefunden Mfg Gebeutelt *edit: Verlauf von MSE als .jpeg angehängt Geändert von Gebeutelt (09.08.2011 um 17:56 Uhr) |
|
09.08.2011, 19:13
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-KashZitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
10.08.2011, 17:16
| #5 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Moin, nein ich mache nichts außer zocken an dem Rechner. Mit E-Banking hab ich nichts am Hut. Ist mir zu unsicher.. scheinbar mit recht Mfg Gebeutelt |
|
10.08.2011, 19:13
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ --> BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash |
|
12.08.2011, 18:40
| #7 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Hi, hier noch ein zweiter Scan mit OTL. Musste ihn Zippen, sonst wäre er zu groß gewesen. Hatte oben schon mal einen eingefügt, aber nicht mit einem Custom-Scan. Habe alle Programme geschlossen gehabt und auch die Virenscanner deaktiviert. Mfg Gebeutelt |
|
12.08.2011, 19:38
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://onepieceofbleach.com/"
[2011.05.06 23:07:46 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\XXXXX\AppData\Roaming\mozilla\Firefox\Profiles\g1xbimo4.default\extensions\engine@conduit.com
[2010.04.13 00:03:10 | 000,000,903 | ---- | M] () -- C:\Users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\searchplugins\conduit.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (uTorrentBar Toolbar) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll (Conduit Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump) - G:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2008.03.11 17:35:00 | 000,000,049 | R--- | M] () - G:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{865f9367-0a09-11e0-a708-00221599a783}\Shell\AutoRun\command - "" = J:\start.exe
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{c2c9138b-ba36-11dd-85d1-806e6f6e6963}\Shell\AutoRun\command - "" = G:\Autorun.exe -- [2008.03.11 17:35:00 | 000,083,248 | R--- | M] (Reality Pump)
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell - "" = AutoRun
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\AutoRun\command - "" = H:\autorun.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\directx\command - "" = H:\DirectX9\dxsetup.exe
O33 - MountPoints2\{da9ce8f3-f57e-11df-9771-00221599a783}\Shell\setup\command - "" = H:\setup.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:7013C3D98A027985
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.08.2011, 12:45
| #9 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Guten Tag, habe den Fix durchgeführt und neu gestartet. Beim neustarten hat er dann das Log geöffnet. Habs als Anhang angehängt. Mfg Gebeutelt |
|
15.08.2011, 10:48
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.08.2011, 15:58
| #11 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Combofix Logfile: Code:
ATTFilter ComboFix 11-08-15.07 - XXXXX 15.08.2011 16:07:11.1.4 - x64
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.4094.2481 [GMT 2:00]
ausgeführt von:: c:\users\XXXXX\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\hpeE47C.dll
F:\install.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-15 bis 2011-08-15 ))))))))))))))))))))))))))))))
.
.
2011-08-15 14:12 . 2011-08-15 14:14 -------- d-----w- c:\users\XXXXX\AppData\Local\temp
2011-08-15 14:12 . 2011-08-15 14:12 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2011-08-14 08:56 . 2011-07-13 04:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{ABB61767-4D63-46F3-9992-E3DDDC6D3822}\mpengine.dll
2011-08-13 11:33 . 2011-08-13 11:33 -------- d-----w- C:\_OTL
2011-08-11 14:07 . 2011-03-08 13:05 601424 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FBE68FB2-150E-48CC-9108-984E7D1029B0}\gapaengine.dll
2011-08-10 20:14 . 2011-08-10 20:14 -------- d-sh--w- c:\windows\system32\%APPDATA%
2011-08-10 15:53 . 2011-06-06 10:59 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-06 10:59 2409784 ----a-w- c:\program files (x86)\Windows Mail\OESpamFilter.dat
2011-08-10 15:53 . 2011-06-17 16:16 451072 ----a-w- c:\windows\system32\winsrv.dll
2011-08-10 15:53 . 2011-07-06 15:49 275456 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-08-10 15:53 . 2011-06-17 20:14 1424272 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-08-10 15:53 . 2011-06-17 13:56 40448 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2011-08-10 15:53 . 2011-06-20 08:45 4699536 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-08-07 12:46 . 2011-08-07 12:45 627600 ----a-w- c:\windows\system32\deployJava1.dll
2011-08-07 10:11 . 2011-07-13 04:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-08-07 07:24 . 2011-08-07 07:24 -------- d-----w- c:\program files (x86)\Apple Software Update
2011-08-07 06:40 . 2011-08-07 06:40 -------- d-----w- c:\users\XXXXX\AppData\Roaming\Malwarebytes
2011-08-07 06:40 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-08-07 06:40 . 2011-08-07 06:40 -------- d-----w- c:\programdata\Malwarebytes
2011-08-07 06:40 . 2011-08-07 06:40 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-08-07 06:40 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 17:12 . 2011-05-23 04:10 -------- d-----w- c:\program files\teamspeak3-server_win64
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-13 04:53 . 2011-03-08 13:06 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-27 19:04 . 2011-05-23 14:40 404640 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-02 13:50 . 2011-07-13 14:50 2764288 ----a-w- c:\windows\system32\win32k.sys
2011-05-21 04:01 . 2011-05-21 04:01 8863336 ----a-w- c:\windows\system32\nvwgf2umx.dll
2011-05-21 04:01 . 2011-05-21 04:01 7123560 ----a-w- c:\windows\system32\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01 67176 ----a-w- c:\windows\system32\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01 6555240 ----a-w- c:\windows\SysWow64\nvwgf2um.dll
2011-05-21 04:01 . 2011-05-21 04:01 57960 ----a-w- c:\windows\SysWow64\OpenCL.dll
2011-05-21 04:01 . 2011-05-21 04:01 5301352 ----a-w- c:\windows\SysWow64\nvcuda.dll
2011-05-21 04:01 . 2011-05-21 04:01 2943592 ----a-w- c:\windows\system32\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01 2804328 ----a-w- c:\windows\SysWow64\nvcuvid.dll
2011-05-21 04:01 . 2011-05-21 04:01 2335848 ----a-w- c:\windows\SysWow64\nvapi.dll
2011-05-21 04:01 . 2011-05-21 04:01 22286952 ----a-w- c:\windows\system32\nvoglv64.dll
2011-05-21 04:01 . 2011-05-21 04:01 2212968 ----a-w- c:\windows\system32\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01 2082408 ----a-w- c:\windows\SysWow64\nvcuvenc.dll
2011-05-21 04:01 . 2011-05-21 04:01 18583144 ----a-w- c:\windows\system32\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01 16456296 ----a-w- c:\windows\SysWow64\nvoglv32.dll
2011-05-21 04:01 . 2011-05-21 04:01 15223912 ----a-w- c:\windows\system32\nvd3dumx.dll
2011-05-21 04:01 . 2011-05-21 04:01 1496168 ----a-w- c:\windows\system32\nvdispco6420150.dll
2011-05-21 04:01 . 2011-05-21 04:01 1427048 ----a-w- c:\windows\system32\nvgenco642090.dll
2011-05-21 04:01 . 2011-05-21 04:01 13206120 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2011-05-21 04:01 . 2011-05-21 04:01 13011560 ----a-w- c:\windows\SysWow64\nvcompiler.dll
2011-05-21 04:01 . 2011-05-21 04:01 11992680 ----a-w- c:\windows\SysWow64\nvd3dum.dll
2011-05-21 04:01 . 2011-04-07 21:19 2560616 ----a-w- c:\windows\system32\nvsvcr.dll
2011-05-21 04:01 . 2011-04-07 21:19 117864 ----a-w- c:\windows\system32\nvmctray.dll
2011-05-21 04:01 . 2011-04-07 21:19 1016936 ----a-w- c:\windows\system32\nvvsvc.exe
2011-05-21 04:01 . 2011-04-07 21:19 739432 ----a-w- c:\windows\system32\easyupdatusapiu64.dll
2011-05-21 04:01 . 2011-04-07 21:19 6300776 ----a-w- c:\windows\system32\nvcpl.dll
2011-05-21 04:01 . 2011-04-07 21:18 3040872 ----a-w- c:\windows\system32\nvsvc64.dll
2011-05-21 04:01 . 2009-05-01 00:46 61544 ----a-w- c:\windows\system32\nvshext.dll
2011-05-21 04:01 . 2008-05-22 05:34 2644584 ----a-w- c:\windows\system32\nvapi64.dll
2011-05-18 21:07 . 2011-05-18 21:07 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07 367104 ----a-w- c:\windows\SysWow64\html.iec
2011-05-18 21:07 . 2011-05-18 21:07 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2011-05-18 21:07 . 2011-05-18 21:07 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-18 21:07 . 2011-05-18 21:07 222208 ----a-w- c:\windows\system32\msls31.dll
2011-05-18 21:07 . 2011-05-18 21:07 12288 ----a-w- c:\windows\system32\mshta.exe
2011-05-18 21:07 . 2011-05-18 21:07 114176 ----a-w- c:\windows\system32\admparse.dll
2011-05-18 21:07 . 2011-05-18 21:07 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-18 21:07 . 2011-05-18 21:07 76800 ----a-w- c:\windows\system32\tdc.ocx
2011-05-18 21:07 . 2011-05-18 21:07 49664 ----a-w- c:\windows\system32\imgutil.dll
2011-05-18 21:07 . 2011-05-18 21:07 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-18 21:07 . 2011-05-18 21:07 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-18 21:07 . 2011-05-18 21:07 111616 ----a-w- c:\windows\system32\iesysprep.dll
2011-05-18 21:07 . 2011-05-18 21:07 85504 ----a-w- c:\windows\system32\iesetup.dll
2011-05-18 21:07 . 2011-05-18 21:07 603648 ----a-w- c:\windows\system32\vbscript.dll
2011-05-18 21:07 . 2011-05-18 21:07 448512 ----a-w- c:\windows\system32\html.iec
2011-05-18 21:07 . 2011-05-18 21:07 30720 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-18 21:07 . 2011-05-18 21:07 165888 ----a-w- c:\windows\system32\iexpress.exe
2011-05-18 21:07 . 2011-05-18 21:07 160256 ----a-w- c:\windows\system32\wextract.exe
2011-05-18 21:07 . 2011-05-18 21:07 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-18 21:07 . 2011-05-18 21:07 173056 ----a-w- c:\windows\system32\ieUnatt.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" [2010-11-21 4608]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-10 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;d:\games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [2009-12-15 25832]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft-Netzwerkinspektion;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [x]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [x]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [x]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [x]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [x]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [x]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 1020768]
R4 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
R4 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 135664]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S2 AAV UpdateService;AAV UpdateService;c:\program files (x86)\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [2008-10-24 128296]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-21 2214504]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-04-07 378472]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-02-06 20:19]
.
2011-08-07 c:\windows\Tasks\Spybot - Search & Destroy Updater - Scheduled Task.job
- c:\program files (x86)\Spybot - Search & Destroy\SDUpdate.exe [2008-11-24 14:31]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RAVCpl64.exe" [2008-05-20 6296064]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page =
mLocal Page =
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
TCP: Interfaces\{1C7F18F4-66FE-49B6-B8D9-1B7B3A01D8C4}: NameServer = 192.168.2.1
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\XXXXX\AppData\Roaming\Mozilla\Firefox\Profiles\g1xbimo4.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.startup.homepage -
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files (x86)\DivX\DivXCodecUninstall.exe
AddRemove-{8ADFC4160D694100B5B8A22DE9DCABD9} - c:\program files (x86)\DivX\DivXPlayerUninstall.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3668465672-3178741497-4134219737-1000\Software\SecuROM\License information*]
"datasecu"=hex:6d,6f,8a,ad,6b,7a,4f,3f,74,09,96,a5,17,e5,e8,6c,be,31,1f,d0,ce,
79,69,49,5a,ee,da,a2,94,67,1c,79,a2,ea,55,bd,a9,bb,15,1f,8d,55,09,c2,87,02,\
"rkeysecu"=hex:9b,fb,7d,02,84,3a,18,6d,d3,de,ba,23,1f,f4,c7,49
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10t_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10t.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\ASUS\Six Engine\SixEngine.exe
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Bonjour\mDNSResponder.exe
c:\program files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-08-15 16:19:31 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-08-15 14:19
.
Vor Suchlauf: 10 Verzeichnis(se), 14.717.833.216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 14.783.586.304 Bytes frei
.
- - End Of File - - 7A03EB00D1DCF06A0F5CBA1E803D5051
|
|
15.08.2011, 16:07
| #12 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Kleine Anmerkung noch. Ist das normal, dass ich nach dem Neustart so nen Standart Microsoft-Hintergrund habe, obwohl ich vorher einen normalen Schwarzen Hintergrund hatte? Mfg Gebeutelt. |
|
15.08.2011, 18:33
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.08.2011, 16:09
| #14 |
| | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Moin, habe den Scan durchgeführt. Musste ihn leider im abgesicherten Modus machen. Im normalen Modus habe ich sofort einen Bluescreen bekommen, sobald ich auf Scan geklickt habe. Anbei das Log. Mfg Gebeutelt. |
|
16.08.2011, 18:33
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu BKA Virus Blockiert Rechner und verlangt freischaltung via 100 Euro U-Kash |
| 100 euro, anleitung, antimalware, antivirus, bildschirm, bildschirm weiß, blockiert, datei, desktop, euro, exe, exe datei, exe datein, firefox, gelöscht, java, keylogger, malwarebytes, neu, nicht mehr, ordner, rechner, sicherer, systemwiederherstellung, systemwiederherstellung gemacht, trojaner, video, viren, virus |
Textbox.
.
Linear-Darstellung
