Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 10.03.2012, 14:27   #1
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Vor 6 Tagen habe ich mir Viren eingefangen. Es war ein Dialog, der wie ein Update vom Acrobat Reader aussah.

Antivir meldete sehr häufig hintereinander solche Funde:
BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@
BDS/ZAccess.Q [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@
BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.$
TR/Sirefef.CY [trojan] in C:\Users\***\AppData\Local\Temp\5412.tmp

Ich habe dann einen vollständigen Suchlauf mit Avira gemacht und es wurde nichts gefunden.

Avira-Log:
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 03. März 2012  23:28

Es wird nach 3515858 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : GECKO

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  28.06.2011 20:07:00
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  28.06.2011 20:07:00
LUKE.DLL       : 10.3.0.5       45416 Bytes  28.06.2011 20:07:02
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  28.06.2011 20:07:03
AVREG.DLL      : 10.3.0.9       88833 Bytes  12.07.2011 22:39:36
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 23:06:16
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 16:06:31
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:36:55
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 13:36:55
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 13:36:55
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 13:36:55
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 13:36:55
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 13:36:55
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 13:36:55
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 13:36:55
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 13:36:55
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 13:36:56
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 08:44:28
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 08:44:31
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 21:32:44
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 13:52:16
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 20:41:07
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 18:59:59
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 21:42:09
VBASE020.VDF   : 7.11.23.150   148480 Bytes  20.02.2012 12:52:57
VBASE021.VDF   : 7.11.23.224   172544 Bytes  23.02.2012 15:45:55
VBASE022.VDF   : 7.11.24.52    219648 Bytes  28.02.2012 22:23:13
VBASE023.VDF   : 7.11.24.53      2048 Bytes  28.02.2012 22:23:13
VBASE024.VDF   : 7.11.24.54      2048 Bytes  28.02.2012 22:23:13
VBASE025.VDF   : 7.11.24.55      2048 Bytes  28.02.2012 22:23:13
VBASE026.VDF   : 7.11.24.56      2048 Bytes  28.02.2012 22:23:13
VBASE027.VDF   : 7.11.24.57      2048 Bytes  28.02.2012 22:23:13
VBASE028.VDF   : 7.11.24.58      2048 Bytes  28.02.2012 22:23:13
VBASE029.VDF   : 7.11.24.59      2048 Bytes  28.02.2012 22:23:13
VBASE030.VDF   : 7.11.24.60      2048 Bytes  28.02.2012 22:23:14
VBASE031.VDF   : 7.11.24.142   131584 Bytes  02.03.2012 22:33:14
Engineversion  : 8.2.10.8  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  25.10.2011 22:22:18
AESCRIPT.DLL   : 8.1.4.7       442746 Bytes  24.02.2012 15:46:55
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 20:41:52
AESBX.DLL      : 8.2.4.5       434549 Bytes  01.12.2011 19:44:32
AERDL.DLL      : 8.1.9.15      639348 Bytes  09.09.2011 08:46:31
AEPACK.DLL     : 8.2.16.3      799094 Bytes  11.02.2012 19:20:36
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 13:53:59
AEHEUR.DLL     : 8.1.4.0      4436342 Bytes  24.02.2012 15:46:27
AEHELP.DLL     : 8.1.19.0      254327 Bytes  19.01.2012 23:53:43
AEGEN.DLL      : 8.1.5.21      409971 Bytes  04.02.2012 08:44:35
AEEXP.DLL      : 8.1.0.23       70005 Bytes  24.02.2012 15:46:56
AEEMU.DLL      : 8.1.3.0       393589 Bytes  22.11.2010 20:20:54
AECORE.DLL     : 8.1.25.4      201079 Bytes  13.02.2012 20:41:08
AEBB.DLL       : 8.1.1.0        53618 Bytes  25.04.2010 18:51:37
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  13.12.2010 07:39:20
AVPREF.DLL     : 10.0.3.2       44904 Bytes  28.06.2011 20:07:00
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 18:54:30
AVARKT.DLL     : 10.0.26.1     255336 Bytes  28.06.2011 20:06:59
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  28.06.2011 20:06:59
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  13.12.2010 07:39:20
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  28.06.2011 20:06:58
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  28.06.2011 20:06:58

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 03. März 2012  23:28

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'YouCamTray.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstStub.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'InstStub.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'brs.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'UWBMg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunAppSvc.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ccSvcHst.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'smc.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'UMVPFSrv.exe' - '25' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '208' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <Datenträger>
Beginne mit der Suche in 'E:\' <Data>


Ende des Suchlaufs: Montag, 05. März 2012  22:15
Benötigte Zeit: 46:46:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  38329 Verzeichnisse wurden überprüft
 1021243 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1021243 Dateien ohne Befall
   9341 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
         
Avira hat aber immer wieder in regelmässigen Abständen Funde gemeldet.

Dann habe ich Malwarebytes laufen lassen, und es wurde ein Registry-Eintrag gefunden, den ich entfernen lies.

malwarebytes-Log:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.05.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: GECKO [Administrator]

Schutz: Aktiviert

05.03.2012 22:22:06
mbam-log-2012-03-05 (22-22-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230461
Laufzeit: 5 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\***\AppData\Local\94ad51d2\X -> Erfolgreich gelöscht und in 

Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Danach kamen keine Meldungen von Avira mehr.
Und auch ein zweiter Lauf von Malwarebytes hat nichts mehr gefunden.
Ich möchte jetzt aber sichergehen, dass wirklich alles wieder in Ordnung ist.
Ich hoffe es kann mir jemand helfen und mich bei den notwendigen Schritten begleiten.


Ich habe die Checkliste abgearbeitet und defogger und dds ausgeführt.

defogger-Log:
Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:53 on 10/03/2012 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         

dds-Log (Attachment.txt im Anhang):
Code:
ATTFilter
.
DDS (Ver_2011-08-26.01) - NTFSAMD64 
Internet Explorer: 9.0.8112.16421  BrowserJavaVersion: 1.6.0_26
Run by *** at 13:55:39 on 2012-03-10
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.43.1031.18.4029.2646 [GMT 1:00]
.
AV: Norton Internet Security *Enabled/Updated* {88C95A36-8C3B-2F2C-1B8B-30FCCFDC4855}
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Norton Internet Security *Disabled/Updated* {33A8BBD2-AA01-20A2-213B-0B8EB45B02E8}
FW: Norton Internet Security *Disabled* {B0F2DB13-C654-2E74-30D4-99C9310F0F2E}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files (x86)\Sygate\SPF\smc.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files (x86)\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\ccSvcHst.exe
C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
C:\Program Files (x86)\Realtek\Realtek WHCI\RunAppSvc.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files (x86)\Realtek\Realtek WHCI\UWBMg.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\Fujitsu\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Windows\System32\rundll32.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files (x86)\Power Manager\PM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conhost.exe
C:\Program Files (x86)\Launch Pad\LaunchPad.exe
C:\Program Files (x86)\Hotkey Utility\tray.exe
C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files (x86)\CyberLink\Shared files\brs.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2790392
uDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=FTSA&amp;bmod=EU01
uURLSearchHooks: BitTorrentBar Toolbar: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files (x86)\BitTorrentBar\tbBitT.dll
mURLSearchHooks: BitTorrentBar Toolbar: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files (x86)\BitTorrentBar\tbBitT.dll
mWinlogon: Userinit=userinit.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
BHO: Symantec NCO BHO: {602adb0e-4aff-4217-8aa1-95dac4dfa408} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\coIEPlg.dll
BHO: Symantec Intrusion Prevention: {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\IPSBHO.DLL
BHO: BitTorrentBar Toolbar: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files (x86)\BitTorrentBar\tbBitT.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
TB: Norton Toolbar: {7febefe3-6b19-4349-98d2-ffb09d4b49ca} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\coIEPlg.dll
TB: TerraTec Home Cinema: {ad6e6555-fb2c-47d4-8339-3e2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
TB: BitTorrentBar Toolbar: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - C:\Program Files (x86)\BitTorrentBar\tbBitT.dll
TB: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
uRunOnce: [FlashPlayerUpdate] C:\Windows\SysWOW64\Macromed\Flash\FlashUtil11e_Plugin.exe -update plugin
mRun: [RemoteControl9] "C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe"
mRun: [PDVD9LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD9\Language\Language.exe"
mRun: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared Files\brs.exe
mRun: [UCam_Menu] "C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\YouCam" UpdateWithCreateOnce "Software

\CyberLink\YouCam\3.0"
mRun: [YouCam Mirror Tray icon] "C:\Program Files (x86)\CyberLink\YouCam\YouCamTray.exe" /s
mRun: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun: [SmcService] C:\PROGRA~2\Sygate\SPF\smc.exe -startgui
mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun: [Family Tree Builder Update] C:\Program Files (x86)\MyHeritage\Bin\FTBCheckUpdates.exe
mRun: [LWS] C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe -hide
mRun: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
StartupFolder: C:\Users\***\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\startup\FRITZ!~1.LNK - C:\Program Files (x86)\FRITZ!DSL\FritzDsl.exe
StartupFolder: C:\Users\***\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\startup\FRITZ!~2.LNK - C:\Program Files (x86)\FRITZ!DSL\StCenter.exe
StartupFolder: C:\Users\***\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\startup\LOGITE~1.LNK - C:\Program Files (x86)\Logitech\Ereg\eReg.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: E&xport to Microsoft Excel - c:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
TCP: DhcpNameServer = 192.168.178.1
TCP: Interfaces\{4C3DF0F6-16DF-4CE7-B712-AB15D0379C7E} : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6} : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6}\268616 : DhcpNameServer = 192.168.0.1
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6}\271647E65647 : NameServer = 10.0.0.138
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6}\271647E65647 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6}\64259445A51224F6870264F6E60275C414E40273237303 : DhcpNameServer = 192.168.178.1
TCP: Interfaces\{67965CE7-86F0-40BA-8EED-B555251852E6}\64259445A51224F6870275C414E40233237303 : DhcpNameServer = 192.168.178.1
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: symres - {AA1061FE-6C41-421f-9344-69640C9732AB} - C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\CoIEPlg.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
{30F9B915-B755-4826-820B-08FBA6BD249D}
{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}
{6D53EC84-6AAE-4787-AEEE-F4628F01010C}
{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}
{AD6E6555-FB2C-47D4-8339-3E2965509877}
{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
{30F9B915-B755-4826-820B-08FBA6BD249D}
mRun-x64: [RemoteControl9] "C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe"
mRun-x64: [PDVD9LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD9\Language\Language.exe"
mRun-x64: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared Files\brs.exe
mRun-x64: [UCam_Menu] "C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\YouCam" UpdateWithCreateOnce 

"Software\CyberLink\YouCam\3.0"
mRun-x64: [YouCam Mirror Tray icon] "C:\Program Files (x86)\CyberLink\YouCam\YouCamTray.exe" /s
mRun-x64: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
mRun-x64: [SmcService] C:\PROGRA~2\Sygate\SPF\smc.exe -startgui
mRun-x64: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
mRun-x64: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun-x64: [Family Tree Builder Update] C:\Program Files (x86)\MyHeritage\Bin\FTBCheckUpdates.exe
mRun-x64: [LWS] C:\Program Files (x86)\Logitech\LWS\Webcam Software\LWS.exe -hide
mRun-x64: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\pes8xfgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - about:blank
FF - prefs.js: network.proxy.type - 4
FF - plugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/02/12 21:01:05];C:\Program Files (x86)\CyberLink\PowerDVD9\000.fcl [2009-5-7 146928]
R2 AntiVirSchedulerService;Avira AntiVir Planer;C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe [2010-2-26 136360]
R2 AntiVirService;Avira AntiVir Guard;C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe [2010-2-26 269480]
R2 avgntflt;avgntflt;C:\Windows\system32\DRIVERS\avgntflt.sys --> C:\Windows\system32\DRIVERS\avgntflt.sys [?]
R2 EkaProt6;Ekahau User Protocol Driver for NDIS 6;C:\Windows\system32\DRIVERS\ekaprot6.sys --> C:\Windows\system32\DRIVERS\ekaprot6.sys [?]
R2 MBAMService;MBAMService;C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-3-5 652360]
R2 Norton Internet Security;Norton Internet Security;C:\Program Files (x86)\Norton Internet Security\Engine\16.7.0.30\ccSvcHst.exe [2010-2-12 117640]
R2 RunAppSvc;RunAppSvc;C:\Program Files (x86)\Realtek\Realtek WHCI\RunAppSvc.exe [2010-2-12 65536]
R2 UMVPFSrv;UMVPFSrv;C:\Program Files (x86)\Common Files\LogiShrd\LVMVFM\UMVPFSrv.exe [2011-8-19 450848]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;C:\Windows\system32\DRIVERS\e1y62x64.sys --> C:\Windows\system32\DRIVERS\e1y62x64.sys [?]
R3 LVUVC64;Logitech Webcam 500(UVC);C:\Windows\system32\DRIVERS\lvuvc64.sys --> C:\Windows\system32\DRIVERS\lvuvc64.sys [?]
R3 MBAMProtector;MBAMProtector;\??\C:\Windows\system32\drivers\mbam.sys --> C:\Windows\system32\drivers\mbam.sys [?]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;C:\Windows\system32\Drivers\RtsUStor.sys --> C:\Windows\system32\Drivers\RtsUStor.sys [?]
R3 UPCDRV;Utility Program Component Service;C:\Windows\system32\DRIVERS\UPCDRV.sys --> C:\Windows\system32\DRIVERS\UPCDRV.sys [?]
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]
S2 gupdate;Google Update Service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-2-4 136176]
S2 IGDCTRL;AVM IGD CTRL Service;C:\Program Files\FRITZ!DSL\IGDCTRL.EXE [2009-7-28 88888]
S3 AF9035BDA;Cinergy T-Stick service;C:\Windows\system32\DRIVERS\AF15BDA.sys --> C:\Windows\system32\DRIVERS\AF15BDA.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-2-4 136176]
S3 LVPr2M64;Logitech LVPr2M64 Driver;C:\Windows\system32\DRIVERS\LVPr2M64.sys --> C:\Windows\system32\DRIVERS\LVPr2M64.sys [?]
S3 LVRS64;Logitech RightSound Filter Driver;C:\Windows\system32\DRIVERS\lvrs64.sys --> C:\Windows\system32\DRIVERS\lvrs64.sys [?]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 WatAdminSvc;Windows-Aktivierungstechnologieservice;C:\Windows\system32\Wat\WatAdminSvc.exe --> C:\Windows\system32\Wat\WatAdminSvc.exe [?]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;C:\Program Files (x86)\Microsoft SQL Server\100\Shared\sqladhlp.exe [2008-7-10 47128]
S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);C:\Program Files (x86)\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2008-7-10 369688]
.
=============== Created Last 30 ================
.
2012-03-05 23:03:16    69000    ----a-w-    C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{E7C035B4-5914-48B9-A6DB-6955D0D28BF7}\offreg.dll
2012-03-05 21:11:53    --------    d-----w-    C:\Users\***\AppData\Roaming\Malwarebytes
2012-03-05 21:11:25    --------    d-----w-    C:\ProgramData\Malwarebytes
2012-03-05 21:11:24    23152    ----a-w-    C:\Windows\System32\drivers\mbam.sys
2012-03-05 21:11:23    --------    d-----w-    C:\Program Files (x86)\Malwarebytes' Anti-Malware
2012-03-03 22:27:53    --------    d-----w-    C:\Users\***\AppData\Roaming\Avira
2012-03-03 22:07:51    --------    d-sh--w-    C:\Users\***\AppData\Local\94ad51d2
2012-02-22 19:46:11    --------    d-----w-    C:\Users\***\AppData\Local\Temporary Projects
.
==================== Find3M  ====================
.
.
============= FINISH: 13:56:17,36 ===============
         

Alt 10.03.2012, 15:54   #2
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hi,
nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________

__________________

Alt 11.03.2012, 12:51   #3
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Hallo,

ja, fürs Einkaufen und Online Banking, beruflich nicht.
Seit dem Befall habe ich nichts mehr gemacht.

Grüße,
Florian
__________________

Alt 11.03.2012, 19:31   #4
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hi,
bitte deine bank anrufen, onlinebanking wegen zero access rootkit sperren lassen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 12.03.2012, 07:02   #5
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Hallo,

vielen Dank für die Informationen.
Ich werde das online banking sperren lassen.
Und dann die Datenrettung machen.

Zu deinen Fragen:
- ob Windows CD, recovery CD oder recovery partition weiß ich noch nicht, muss erst die CDs zu dem PC sichten.
- Hersteller und Typ: Fujitsu amilo notebook Xi 3670
- wie formatiert man? ich hätt's so gemacht: rechte Maustaste auf dem Laufwerksbuchsten: "Formatieren..." und Haken bei Schnellformatierung wegnehmen.

Vielen Dank für deine Hilfe schonmal.

Ich melde mich wieder, wenn ich mehr weiß/weiter gekommen bin.

Grüße,
Florian


Alt 12.03.2012, 12:39   #6
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hi,
ne so formatiert man nicht, zumindest nicht die festplatte auf der das betriebssystem läuft :-)
meld dich dann noch mal mit den restlichen infos.
__________________
--> Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@

Alt 13.03.2012, 01:19   #7
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



So,
Online Banking gesperrt.
Daten gesichert.
Ich habe eine Recovery DVD.

Alt 13.03.2012, 10:32   #8
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hi,
dvd einlegen, neustarten.
f12 drücken dort das cd bzw dvd laufwerk wählen.
die anweisungen sollten soweit selbst erklärend sein, formatieren und neu instalieren bitte.
danach den pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.03.2012, 21:00   #9
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Hallo,
bin noch nicht ganz fertig, aber es sieht schon ganz gut aus.
Als Virenscanner nehme ich jetzt emsisoft.
Als Browser Firefox.

Vielen Dank für die detaillierte Hilfe.

Eine Frage hätte ich noch, um mein Verständnis über Schadsoftware zu verbessern: Wenn ich nach dem Befall z.B. beim online banking meine PIN nicht eintippe und sie auch nicht auf dem Rechner gespeichert ist, kann sie nicht kompromittiert sein oder?

So, werde noch die update checker und panda installieren.

Vielen Dank nochmal für die tolle Unterstützung.

Gruß,
Florian

Alt 24.03.2012, 17:03   #10
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hi,
1. emsi konfig:

emsisoft öffnen, einstellungen klicken.
geplanter scan.
wähle starten um, ich persönlich hab monatlich, kannst aber auch wöchendlich einstellen.
uhrzeit, und bei monatlich ebenfalls datum wählen.
unsichtbar, falls du das scan fenster nicht sehen möchtest.
und verpasste scans nachholen.
auto update:
intervall, täglich, stündlich von 00.00 bis 23.59
heißt jede stunde updates.
einstellung: update
am antimalware network teilnemen.
die andern beiden haken, beta updates und zusätzliche sprachen, nicht setzen.

rest bleibt.
klicke jetzt auf wächter:
dort auf wächter.
verhaltensanalyse aktivieren, alles selektieren.
jetzt auf alarme:
aktiviere dort comunety basierte alarm reduktion.
unter anderem dafür gibt es das antimalware network.
die comunety basierte alarm reduktion betrifft die verhaltensanalyse.
emsisoft gibt, bei einigen programmen, meldungen raus, weil das verhalten des programmes dies notwendig macht.
da manche user sich damit nicht auskennen, was keine schande ist, :-) wird hier geprüft, wie viele nutzer haben programm x erlaubt oder blockiert.
hier haben wir im moment 90 % eingestellt, also wenn 90 % sagen, das programm ist io, wird ne erlauben regel angelegt, wenn sie sagen, programm x ist bösartig, automatisch blockiert.
wenn du dir das allein zutraust, musst du den haken nicht setzen.
wenn zb nur 70 % aller user sagen programm x ist gut oder bösartig, wird dir dies in einer grafik angezeigt
jetzt auf datei wächter.
standard atkion für erkannte objekte, alarmieren.
surf schutz:
hier alles auf blockieren mit info.
wenn es eine seite gibt, die versehens blockiert wird, kanns du die direkt über das popup erlauben was es bei der blockierung gibt, oder über host regeln.
wenn dir diese info popups nicht gefallen musst du alles auf unsichtbar blockieren stellen, aber drann denken, zu prüfen wenn du ne seite hast, die nicht geladen wird, ob emsi sie geblockt hatt.

das wäre es, hoffe es war verständlich.

2. schon mal chrome angesehen? er ist sicherer und schneller.
3. zu deiner frage:
deine anname trifft zu, aber dafür müsstest du den infektionszeitpunkt ja genau eingrenzen können.
der infektionszeitpunkt muss aber nicht der zeitpunkt sein, wo deine antimalware software meldung macht.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.03.2012, 20:00   #11
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Hallo,

danke für die emsosoft Einstellungen. Ist alles eingestellt.

Chrome wurde mit Avast zusammen installiert. Habe nach dem Neuaufsetzen zuerst Avast installiert, weil emsisoft erst ab Windows 7 Service Pack 1 installiert werden kann.

Bin mit Chrome nicht so gut zurechgekommen.
Werde nochmal ein wenig damit experimentieren.

Grüße,
Florian

Alt 31.03.2012, 17:09   #12
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



hast du avast wieder deinstaliert?
was passt dir bei chrome nicht, evtl. kann ich dir behilflich sein.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.04.2012, 14:40   #13
frathenboeck
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



Hallo,

entschuldige die lange Pause,
ich komme privat nicht so regelmässig an den Computer.
Ich hatte avast deaktiviert. Und inzwischen auch deinstalliert.
Firefox verwende ich bei der Arbeit auch, ich bin Programmierer.
Bei Chrome habe ich die Menüleiste vermisst und vor allem das Lesezeichen-Menü. Man ist halt schwer von seinen Gewohnheiten wegzubekommen.

Grüße,
Florian

Alt 18.04.2012, 14:52   #14
markusg
/// Malware-holic
 
Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Standard

Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@



mit der sandbox kommst aber klar?
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
firefox.exe
plugin-container.exe

dann gehe auf anwendungen, webbrowser, firefox.
dort alle haken rein, außer gesammten profil ordner frei geben
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@
.com, antivir guard, avira, backdoor, checkliste, dateisystem, desktop, dsl, entfernen, excel, firefox, google earth, helper, heuristiks/extra, heuristiks/shuriken, home, lws.exe, mozilla, nt.dll, plug-in, programm, prozesse, realtek, registry, rundll, security, server, software, svchost.exe, symantec, trojan, verweise, viren, windows, windows 7 home, windows 7 home premium



Ähnliche Themen: Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@


  1. TR/PSW.Steam.oslde Funde in: [...]\AppData\Local\Temp\tmp.... Immer wiederkehrend
    Plagegeister aller Art und deren Bekämpfung - 14.02.2015 (23)
  2. Bitcoin Virus, wincpu.exe stellt sich immer wieder her : Benutzer/appdata/local/temp/64
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (11)
  3. Diese 3 Schaddateien tauchen immer wieder auf (C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\sced2vv7.default\prefs.js)
    Log-Analyse und Auswertung - 28.04.2014 (9)
  4. TR/Dropper/A.15627 in C:\Users\XXX\AppData\Local\Temp\
    Plagegeister aller Art und deren Bekämpfung - 16.04.2014 (1)
  5. C:\Users\****\AppData\Local\Temp\jrscpls.exe
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (39)
  6. C:\Users\*****\AppData\Local\Temp\jrscpls.exe
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (3)
  7. RunDLL Probleme beim Starten von C:\users\***\AppData\Roaming\pndeb.dll & AppData\Local\powstak.dll
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (5)
  8. C:\Users\Name\AppData\Local\Temp\g7i0ol_kaz.exe, was ist das??
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (15)
  9. BKA Trojaner | C:\Users\~Name\AppData\Local\Temp\g7i0ol_kaz.exe
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (5)
  10. TR/Sirefef.P.308 in C:\Users\*\AppData\Local\Temp\msimg32.dll
    Log-Analyse und Auswertung - 15.06.2012 (12)
  11. c:\users\***\appdata\local\temp\vcplt.dll
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (21)
  12. C:\Users\***\AppData\Local\Temp!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (1)
  13. Immer wieder Trojaner in \AppData\Local\313845ff\U
    Log-Analyse und Auswertung - 16.03.2012 (5)
  14. C:/Users/Appdata/Local/Temp/WAB.log
    Log-Analyse und Auswertung - 21.04.2011 (3)
  15. TR/FraudPack.kvb.76 in C:\Users\***\AppData\Local\Temp\Fj0.exe
    Plagegeister aller Art und deren Bekämpfung - 31.12.2010 (4)
  16. XxX.xXx Malware in C:\Users\***\AppData\Local\Temp\XxX.xXx
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (10)
  17. BDS/Bredavi.azd in C:\Users\****\AppData\Local\Temp\****.exe
    Plagegeister aller Art und deren Bekämpfung - 29.11.2009 (8)

Zum Thema Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ - Vor 6 Tagen habe ich mir Viren eingefangen. Es war ein Dialog, der wie ein Update vom Acrobat Reader aussah. Antivir meldete sehr häufig hintereinander solche Funde: BDS/Maxplus.B [backdoor] in - Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@...
Archiv
Du betrachtest: Immer wieder Funde: BDS/Maxplus.B [backdoor] in C:\Users\***\AppData\Local\94ad51d2\U\800000cf.@ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.