Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Goingonearth auch bei mir ... bitte um Hilfe beim entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.07.2011, 17:33   #1
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Leider hat auch mich goingonearth erwischt ... kann mir bitte jemand helfen?
Angehängte Dateien
Dateityp: txt mbam-log-2011-07-16 (16-11-39).txt (1,7 KB, 185x aufgerufen)
Dateityp: txt OTL.Txt (95,3 KB, 183x aufgerufen)
Dateityp: txt Extras.Txt (77,8 KB, 193x aufgerufen)

Alt 16.07.2011, 18:05   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________

Alt 16.07.2011, 18:10   #3
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Hallo Arne,
eine protection-log-datei habe ich noch gefunden ...

Vielen Dank schon mal für's Kümmern ..
Beste Grüße
Heiko
__________________

Alt 16.07.2011, 18:13   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{0b652b1b-ef21-11de-a634-002643ad1829}\Shell - "" = AutoRun
O33 - MountPoints2\{0b652b1b-ef21-11de-a634-002643ad1829}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{0b652b1f-ef21-11de-a634-002643ad1829}\Shell - "" = AutoRun
O33 - MountPoints2\{0b652b1f-ef21-11de-a634-002643ad1829}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{26cdae40-efb0-11de-9d80-0024be7be38a}\Shell - "" = AutoRun
O33 - MountPoints2\{26cdae40-efb0-11de-9d80-0024be7be38a}\Shell\AutoRun\command - "" = G:\SETUP.EXE
O33 - MountPoints2\{26cdae40-efb0-11de-9d80-0024be7be38a}\Shell\configure\command - "" = G:\SETUP.EXE
O33 - MountPoints2\{26cdae40-efb0-11de-9d80-0024be7be38a}\Shell\install\command - "" = G:\SETUP.EXE
[2011.07.15 17:06:36 | 000,000,314 | -HS- | M] () -- C:\Windows\tasks\SDLLWOX.job
[2011.07.15 12:21:45 | 000,064,000 | RHS- | M] () -- C:\Windows\SysWow64\eapp3hstk.dll
[2011.07.15 11:57:21 | 000,088,532 | ---- | M] () -- C:\Users\Heiko\AppData\Roaming\15i5a.jpg
[2011.07.10 22:02:18 | 000,018,763 | ---- | M] () -- C:\Users\Heiko\AppData\Roaming\bsp02kl
[2011.07.10 21:58:16 | 000,000,078 | ---- | M] () -- C:\Users\Heiko\AppData\Roaming\invs.vbs
[2011.07.03 06:21:18 | 001,169,232 | ---- | M] (Microsoft Corporation) -- C:\Users\Heiko\AppData\Roaming\bsp02.exe
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.07.2011, 18:19   #5
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Ok, hier ist der Fix-Log

Angehängte Dateien
Dateityp: txt 07162011_181528.txt (5,7 KB, 210x aufgerufen)

Alt 16.07.2011, 18:23   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinflussen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
--> Goingonearth auch bei mir ... bitte um Hilfe beim entfernen

Alt 16.07.2011, 18:38   #7
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



OK, ich habe die zip hochgeladen.

Alt 16.07.2011, 18:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.07.2011, 19:09   #9
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



OK, hier ist das TDSSKiller-Log.

Alt 16.07.2011, 19:12   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 16.07.2011, 20:08   #11
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Hier ist das Ergebnis von ComboFix ...


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-07-15.03 - Heiko 16.07.2011  19:26:12.1.2 - x64
Microsoft Windows 7 Home Premium   6.1.7601.1.1252.49.1031.18.4063.2309 [GMT 2:00]
ausgeführt von:: c:\users\Heiko\Downloads\ComboFix.exe
AV: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637}
FW: McAfee Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C}
SP: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {3D54B793-665E-3129-9103-206115370C8A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\users\Heiko\AppData\Roaming\chrtmp
c:\users\Heiko\AppData\Roaming\John FogertyCCR Have You Ever Seen the Rain.exe
c:\users\Heiko\AppData\Roaming\Pink Floyd Fat Old Sun.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-06-16 bis 2011-07-16  ))))))))))))))))))))))))))))))
.
.
2011-07-16 17:40 . 2011-07-16 17:40	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-07-16 14:38 . 2011-07-16 16:31	--------	d-----w-	C:\_OTL
2011-07-15 12:56 . 2011-07-15 12:56	--------	d-----w-	c:\users\Heiko\AppData\Roaming\Malwarebytes
2011-07-15 12:56 . 2011-07-06 17:52	41272	----a-w-	c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-15 12:56 . 2011-07-15 12:56	--------	d-----w-	c:\programdata\Malwarebytes
2011-07-15 12:56 . 2011-07-06 17:52	25912	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-07-13 05:15 . 2011-06-03 06:57	362496	----a-w-	c:\windows\system32\wow64win.dll
2011-07-13 05:15 . 2011-06-03 06:57	214528	----a-w-	c:\windows\system32\winsrv.dll
2011-07-13 05:15 . 2011-06-03 06:53	338944	----a-w-	c:\windows\system32\conhost.exe
2011-07-13 05:15 . 2011-06-03 06:57	243200	----a-w-	c:\windows\system32\wow64.dll
2011-07-13 05:15 . 2011-06-03 06:57	13312	----a-w-	c:\windows\system32\wow64cpu.dll
2011-07-13 05:15 . 2011-06-03 06:57	16384	----a-w-	c:\windows\system32\ntvdm64.dll
2011-07-13 05:15 . 2011-06-03 06:00	14336	----a-w-	c:\windows\SysWow64\ntvdm64.dll
2011-07-13 05:15 . 2011-06-03 05:57	25600	----a-w-	c:\windows\SysWow64\setup16.exe
2011-07-13 05:15 . 2011-06-03 05:56	5120	----a-w-	c:\windows\SysWow64\wow32.dll
2011-07-13 05:15 . 2011-06-03 03:53	7680	----a-w-	c:\windows\SysWow64\instnm.exe
2011-07-13 05:15 . 2011-06-03 03:53	2048	----a-w-	c:\windows\SysWow64\user.exe
2011-06-25 15:17 . 2010-01-01 08:00	2106216	----a-w-	c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
2011-06-25 15:17 . 2010-01-01 08:00	1998168	----a-w-	c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
2011-06-16 20:09 . 2011-04-27 02:39	289280	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2011-06-16 20:09 . 2011-04-27 02:40	158208	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 20:09 . 2011-04-27 02:39	128000	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2011-06-16 20:09 . 2011-04-29 05:55	1110528	----a-w-	c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2011-06-16 20:09 . 2011-04-29 04:57	759296	----a-w-	c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2011-06-16 20:09 . 2011-04-25 05:33	1923968	----a-w-	c:\windows\system32\drivers\tcpip.sys
2011-06-16 20:09 . 2011-04-25 02:34	499200	----a-w-	c:\windows\system32\drivers\afd.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-17 03:55 . 2011-05-20 03:55	404640	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-06-03 05:57 . 2011-07-13 05:15	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2011-06-02 08:28 . 2009-07-14 02:36	175616	----a-w-	c:\windows\system32\msclmd.dll
2011-06-02 08:28 . 2009-07-14 02:36	152576	----a-w-	c:\windows\SysWow64\msclmd.dll
2011-05-30 13:42 . 2011-06-02 06:16	240640	----a-w-	c:\windows\SysWow64\xvidvfw.dll
2011-05-30 13:42 . 2011-06-02 06:16	255488	----a-w-	c:\windows\system32\xvidvfw.dll
2011-05-23 09:52 . 2011-06-02 06:16	153088	----a-w-	c:\windows\SysWow64\xvid.ax
2011-05-23 07:49 . 2011-06-02 06:16	173568	----a-w-	c:\windows\system32\xvid.ax
2011-05-23 07:46 . 2011-06-02 06:16	645632	----a-w-	c:\windows\SysWow64\xvidcore.dll
2011-05-23 07:45 . 2011-06-02 06:16	696832	----a-w-	c:\windows\system32\xvidcore.dll
2011-04-22 22:15 . 2011-05-25 04:14	27520	----a-w-	c:\windows\system32\drivers\Diskdump.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Xvid"="c:\program files (x86)\Xvid\CheckUpdate.exe" [2011-01-17 8192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"NortonOnlineBackupReminder"="c:\program files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" [2009-06-17 538472]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SHTtray.exe"="c:\program files (x86)\Common Files\Sony Shared\SOHLib\SHTtray.exe" [2009-07-27 99624]
"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2011-04-05 1486392]
"Malwarebytes' Anti-Malware"="c:\users\Heiko\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-1 1079584]
McAfee Security Scan Plus.lnk - c:\program files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
WISO Mein Steuer-Sparbuch heute.lnk - c:\program files (x86)\WISO\Steuersoftware 2011\mshaktuell.exe [2011-1-14 1224304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2009-07-01 09:49	98304	----a-w-	c:\windows\System32\VESWinlogon.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
"ISBMgr.exe"="c:\program files (x86)\Sony\ISB Utility\ISBMgr.exe"
"MarketingTools"=c:\program files (x86)\Sony\Marketing Tools\MarketingTools.exe
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"NBKeyScan"="c:\program files (x86)\Nero\Nero BackItUp 4\NBKeyScan.exe"
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" -atboottime
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-09-02 133104]
R2 Roxio Upnp Server 10;Roxio Upnp Server 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe [2009-06-26 362992]
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-09-02 133104]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [x]
R3 netw5v64;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [x]
R3 Roxio UPnP Renderer 10;Roxio UPnP Renderer 10;c:\program files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe [2009-06-26 313840]
R3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynUSB64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VcmINSMgr;VAIO Content Metadata Intelligent Network Service Manager;c:\program files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe [2009-09-01 361840]
R3 VcmXmlIfHelper;VAIO Content Metadata XML Interface;c:\program files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe [2009-06-17 110888]
R3 VUAgent;VUAgent;c:\program files\Sony\VAIO Update 5\VUAgent.exe [2011-04-20 1021840]
R3 ysusb64;Yamaha Steinberg USB Audio;c:\windows\system32\drivers\ysusb64.sys [x]
S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [x]
S1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\DRIVERS\mfenlfk.sys [x]
S1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 MBAMService;MBAMService;c:\users\Heiko\Desktop\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\McAfee\SiteAdvisor\McSACore.exe [2011-02-16 101048]
S2 McMPFSvc;McAfee Personal Firewall-Dienst;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 355440]
S2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\Common Files\McAfee\McSvcHost\McSvHost.exe [2010-03-10 355440]
S2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\McAfee\SystemCore\\mfefire.exe [2011-04-14 245352]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\program files\Common Files\McAfee\SystemCore\mfevtps.exe [2011-04-14 149032]
S2 rimspci;rimspci;c:\windows\system32\DRIVERS\rimssne64.sys [x]
S2 risdsnpe;risdsnpe;c:\windows\system32\DRIVERS\risdsne64.sys [x]
S2 SOHCImp;VAIO Media plus Content Importer;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe [2009-07-27 120104]
S2 SOHDBSvr;VAIO Media plus Database Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe [2009-07-27 70952]
S2 SOHDms;VAIO Media plus Digital Media Server;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe [2009-07-27 427304]
S2 SOHDs;VAIO Media plus Device Searcher;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe [2009-07-27 75048]
S2 SOHPlMgr;VAIO Media plus Playlist Manager;c:\program files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe [2009-07-27 91432]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe [2011-01-12 1403200]
S2 uCamMonitor;CamMonitor;c:\program files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [2008-09-18 104960]
S2 VAIO Power Management;VAIO Power Management;c:\program files\Sony\VAIO Power Management\SPMService.exe [2009-07-16 411496]
S2 VCFw;VAIO Content Folder Watcher;c:\program files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe [2009-07-22 642920]
S2 VSNService;VSNService;c:\program files\Sony\VAIO Smart Network\VSNService.exe [2010-08-11 845312]
S2 yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 27136]
S3 ArcSoftKsUFilter;ArcSoft Magic-I Visual Effect;c:\windows\system32\DRIVERS\ArcSoftKsUFilter.sys [x]
S3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [x]
S3 NETw5s64;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 64-Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesDriver64.sys [2009-10-14 11856]
S3 VcmIAlzMgr;VAIO Content Metadata Intelligent Analyzing Manager;c:\program files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe [2009-09-16 480624]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 40697600
*Deregistered* - 40697600
*Deregistered* - mfeavfk01
.
Inhalt des "geplante Tasks" Ordners
.
2011-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-09-02 04:47]
.
2011-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2009-09-02 04:47]
.
2011-07-15 c:\windows\Tasks\McDefragTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2010-02-20 11:22]
.
2011-07-01 c:\windows\Tasks\McQcTask.job
- c:\progra~2\mcafee\mqc\QcConsol.exe [2010-02-20 11:22]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-03-27 11106408]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2011-03-27 1833576]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.de/
IE: An vorhandene PDF-Datei anfügen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\zpis56kr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://utils.babylon.com/abt/index.php?url=
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10a.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10a.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{18E09523-0BB1-0E75-6B141AE958ABE9E7}\{8E8BA3D9-389B-9F43-3B5B6490B54F898E}\{0E0922CC-9ECE-C3AB-5B05A5FA1997F2CA}*]
"PEOT26KSQKM6GTUFAV35X6SSZE1"=hex:01,00,00,00,00,00,00,00,5c,63,e8,cf,f7,e6,fd,
   3a
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{3B85D734-4D1E-A5B8-7A2C9FEBD20E3A7C}\{9B78C2B1-5ACD-EEEE-C2C08A9F5ADC5CE8}\{497F871A-1051-F8C7-F54470C03EAE9AE4}*]
"PEOT26KSQKM6GTUFAV35X6SSZE1"=hex:01,00,00,00,00,00,00,00,5c,63,e8,cf,f7,e6,fd,
   3a
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{5C082286-DD56-6B96-110FABAC317C22E3}\{17077DA0-F2D9-EF48-DBC13F521337D931}\{A783887F-564D-BBBA-662193019693FEBC}*]
"PEOT26KSQKM6GTUFAV35X6SSZE1"=hex:01,00,00,00,00,00,00,00,5c,63,e8,cf,f7,e6,fd,
   3a
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10a.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@="IFlashBroker2"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-07-16  20:04:47
ComboFix-quarantined-files.txt  2011-07-16 18:04
.
Vor Suchlauf: 15 Verzeichnis(se), 82.744.438.784 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 82.611.769.344 Bytes frei
.
- - End Of File - - EA93ACE48946260A090BC89E42DADDFB
         
--- --- ---

Alt 17.07.2011, 08:56   #12
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Guten Morgen Arne,
muss ich noch irgendwas machen?

Alt 17.07.2011, 18:57   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 17.07.2011, 20:09   #14
Heiko0812
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Hi Arne,
hier nun die aswMBR-Log.
Angehängte Dateien
Dateityp: txt aswMBR.txt (1,6 KB, 145x aufgerufen)

Alt 17.07.2011, 20:24   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Standard

Goingonearth auch bei mir ... bitte um Hilfe beim entfernen



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Goingonearth auch bei mir ... bitte um Hilfe beim entfernen
bitte um hilfe, earth, entferne, entfernen, erwischt, goingonearth, goingonearth entfernen



Ähnliche Themen: Goingonearth auch bei mir ... bitte um Hilfe beim entfernen


  1. Bitte um Hilfe beim entfernen von Instant Savings
    Plagegeister aller Art und deren Bekämpfung - 25.07.2013 (15)
  2. TR/AGent.131072.V Trojaner bitte hilfe beim Entfernen!!!
    Plagegeister aller Art und deren Bekämpfung - 19.07.2013 (5)
  3. Auch mich hat der Virus erwischt-bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (1)
  4. Goingonearth Weiterleitung, Malewarebytes geht nicht und WSS ist auch down.
    Log-Analyse und Auswertung - 20.07.2011 (8)
  5. Bitte um Hilfe bei Entfernung von goingonearth
    Plagegeister aller Art und deren Bekämpfung - 16.07.2011 (21)
  6. Goingonearth - nicht zu entfernen, Logfiles angehangen
    Log-Analyse und Auswertung - 24.05.2011 (12)
  7. Bitte um Hilfe bei der Entfernung von Goingonearth-Virus
    Plagegeister aller Art und deren Bekämpfung - 16.05.2011 (7)
  8. TR/kazy.mekml.1 auch ich bin betroffen, bitte um Hilfe
    Log-Analyse und Auswertung - 01.05.2011 (6)
  9. Windows Diagnostic - BITTE Hilfe beim entfernen
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (23)
  10. goingonearth malware - bitte um hilfe bei beseitigung!
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (13)
  11. ich hab aber auch probleme bitte um hilfe
    Plagegeister aller Art und deren Bekämpfung - 21.04.2009 (24)
  12. Habe auch einen TR/Tropper.Gen bitte um Hilfe!!!!
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (4)
  13. Bitte um Log-File Durchsicht und hoffentlich auch Hilfe
    Log-Analyse und Auswertung - 21.07.2008 (2)
  14. Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster
    Plagegeister aller Art und deren Bekämpfung - 01.05.2008 (31)
  15. Den MSN Wurm hab auch ich, bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 06.08.2007 (46)
  16. searchweb2.com hijacker; bitte auch um Hilfe
    Log-Analyse und Auswertung - 02.01.2005 (3)
  17. bitte um hilfe jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 24.12.2004 (8)

Zum Thema Goingonearth auch bei mir ... bitte um Hilfe beim entfernen - Leider hat auch mich goingonearth erwischt ... kann mir bitte jemand helfen? - Goingonearth auch bei mir ... bitte um Hilfe beim entfernen...
Archiv
Du betrachtest: Goingonearth auch bei mir ... bitte um Hilfe beim entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.