einige trojaner agenten, viele backdoors und einen spyagent

cosinus · 28.10.2011, 14:33

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
PRC - [2011.08.23 21:20:18 | 000,887,976 | ---- | M] (Ask) -- C:\Programme\Ask.com\Updater\Updater.exe
SRV - File not found [Auto | Stopped] --  -- (ClipInc001)
SRV - File not found [Auto | Stopped] --  -- (AntiVirService)
SRV - File not found [Auto | Stopped] --  -- (AntiVirSchedulerService)
SRV - File not found [On_Demand | Stopped] --  -- (ACDaemon)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.puls4.com/home
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaulturl: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.3.1&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "http://start.facemoods.com"
FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.0.4
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.18107
FF - prefs.js..keyword.URL: "http://start.facemoods.com/results.php?f=5&a=fbpage&q="
[2011.09.28 11:19:45 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2011.10.20 13:08:22 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\extensions\toolbar@ask.com
[2011.10.25 16:56:32 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin-1.xml
[2011.10.04 11:59:26 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin-2.xml
[2011.10.11 13:12:35 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin-3.xml
[2011.10.27 18:04:12 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin-4.xml
[2011.10.28 10:50:55 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin-5.xml
[2011.09.12 16:53:26 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Mozilla\Firefox\Profiles\ojb1r1rf.default\searchplugins\icqplugin.xml
[2010.07.05 10:03:37 | 000,000,000 | ---D | M] (FaceMod Dislike Button) -- C:\Programme\Mozilla Firefox\extensions\{64e8cc5b-20db-4212-8320-178fc5ae71f7}
[2010.05.15 13:32:26 | 000,000,000 | ---D | M] (Facemoods) -- C:\Programme\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.3.61.8\facemoodsTlbr.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File not found
O4 - HKLM..\Run: [tray_ico]  File not found
O4 - HKLM..\Run: [tray_ico2]  File not found
O4 - HKLM..\Run: [tray_ico3]  File not found
O4 - HKLM..\Run: [tray_ico4]  File not found
O4 - HKCU..\Run: [Facebook Update] C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk =  File not found
O9 - Extra Button: GetStyles - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Programme\Get Styles\ct.htm File not found
O9 - Extra 'Tools' menuitem : GetStyles - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Programme\Get Styles\ct.htm File not found
O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - z:\Programme\PartyGaming\PartyCasino\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - z:\Programme\PartyGaming\PartyCasino\RunApp.exe File not found
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - z:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - z:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found
O18 - Protocol\Filter\text/html {574940E0-1B7A-4881-8FA3-1E809714B156} - C:\Dokumente und Einstellungen\Tobias\AppData\LocalLow\Microñoft\redir.dll File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.22 15:48:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
MsConfig - StartUpReg: 8DDYX0ZBPZ - hkey= - key= -  File not found
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AlcoholAutomount - hkey= - key= -  File not found
MsConfig - StartUpReg: ClipIncSrvTray - hkey= - key= -  File not found
MsConfig - StartUpReg: D-Link AirPlus G - hkey= - key= -  File not found
MsConfig - StartUpReg: DAEMON Tools - hkey= - key= -  File not found
MsConfig - StartUpReg: ICQ - hkey= - key= -  File not found
MsConfig - StartUpReg: KYQ8ZBOAXR - hkey= - key= -  File not found
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: QuickTime Task - hkey= - key= -  File not found
MsConfig - StartUpReg: SearchSettings - hkey= - key= -  File not found
MsConfig - StartUpReg: SweetIM - hkey= - key= -  File not found
MsConfig - StartUpReg: Tobias - hkey= - key= - C:\Dokumente und Einstellungen\Tobias\Tobias.exe ()
MsConfig - StartUpReg: {8A166BDA-4591-7E9D-6201-0BB7707305E8} - hkey= - key= -  File not found
MsConfig - StartUpReg: {9AD77469-89CC-3354-3A72-25F37B434BAE} - hkey= - key= -  File not found
[2011.10.27 14:29:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011.10.27 14:29:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011.10.27 14:18:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011.10.27 14:17:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011.10.27 14:08:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.8.1
[2011.10.27 14:01:09 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011.10.27 13:56:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011.10.27 13:54:01 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011.10.27 13:53:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0-lnk
[2011.10.27 13:53:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-9-0
[2011.10.27 13:53:45 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0-lnk
[2011.10.27 13:53:45 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-8-0
[2011.10.24 09:43:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\Facebook
[2011.10.20 13:00:18 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com
[2011.10.20 13:00:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\AskToolbar
[2011.10.20 13:00:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Anwendungsdaten\ManyCam
[2011.10.20 13:00:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\ManyCam
[2011.10.20 12:59:55 | 000,000,000 | ---D | C] -- C:\Programme\ManyCam
[2011.10.20 12:59:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2011.10.28 09:46:25 | 000,202,984 | -H-- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.10.28 09:46:25 | 000,000,734 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hîsts
[2011.10.27 22:15:58 | 000,000,224 | ---- | M] () -- C:\WINDOWS\info1
[2011.10.27 21:41:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok
[2011.10.20 12:59:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2009.08.20 17:54:43 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{39850DC2-6343-4AE6-BC4C-63494A9C369F}
[2009.08.20 18:01:39 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{4843418D-E3A6-4662-842A-857DF0C650FB}
[2011.08.12 20:57:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Azno
[2010.06.06 22:04:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\facemoods.com
[2011.09.14 18:21:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\FinalTorrent
[2011.08.15 11:37:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Maadci
[2011.10.20 13:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\ManyCam
[2011.08.15 11:37:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Oksuzu
[2011.08.13 13:43:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\pdfforge
[2011.08.13 13:43:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Search Settings
[2011.08.15 09:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Xuukhe
:Files
C:\Programme\Ask.com
C:\Dokumente und Einstellungen\Tobias\AppData\LocalLow\Micro*
C:\Windows\tasks\*.job
C:\WINDOWS\*.rar
C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\*.sys
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

einige trojaner agenten, viele backdoors und einen spyagent

Plagegeister aller Art und deren Bekämpfung: einige trojaner agenten, viele backdoors und einen spyagent

einige trojaner agenten, viele backdoors und einen spyagent

Ähnliche Themen: einige trojaner agenten, viele backdoors und einen spyagent