| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: BKA TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
29.12.2011, 21:49
| #16 |
 |  BKA Trojaner markus, ich kenne Dich nicht aber Du bist ein Held! Windows ist wieder hergestellt, alles geht wieder auch das Internet ist nicht mehr länger blockiert! Ich danke Dir sehr! Ich hoffe, daß ich mich dafür irgendwann revanchieren kann!  Ich poste noch den Log für Dich. Rückfrage, wenn Kaspersky, mit dem ich sehr lange sehr zufrieden war, den Trojaner als Rücksacktourist bei filesonic nicht verhindern konnte, was für Möglichkeiten bleiben dann noch?  |
|
29.12.2011, 21:50
| #17 |
| | BKA Trojaner Combofix Logfile:
__________________Code:
ATTFilter ComboFix 11-12-29.04 - Werner 29.12.2011 21:30:30.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1656 [GMT 1:00]
ausgeführt von:: K:\ComboFix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\uninst.exe
c:\dokumente und einstellungen\Werner\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Werner\Anwendungsdaten\Wernerlog.dat
c:\dokumente und einstellungen\Werner\explorer.exe
c:\windows\$NtUninstallKB13832$
c:\windows\$NtUninstallKB13832$\1148154471\@
c:\windows\$NtUninstallKB13832$\1148154471\bckfg.tmp
c:\windows\$NtUninstallKB13832$\1148154471\cfg.ini
c:\windows\$NtUninstallKB13832$\1148154471\Desktop.ini
c:\windows\$NtUninstallKB13832$\1148154471\kwrd.dll
c:\windows\$NtUninstallKB13832$\1148154471\L\akygdmgo
c:\windows\$NtUninstallKB13832$\1148154471\U\00000001.@
c:\windows\$NtUninstallKB13832$\1148154471\U\00000002.@
c:\windows\$NtUninstallKB13832$\1148154471\U\00000004.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000000.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000004.@
c:\windows\$NtUninstallKB13832$\1148154471\U\80000032.@
c:\windows\$NtUninstallKB13832$\2165420293
c:\windows\~
c:\windows\a3kebook.ini
c:\windows\akebook.ini
c:\windows\ANS2000.INI
c:\windows\IsUn0407.exe
c:\windows\ST6UNST.000
c:\windows\system32\windir
.
Infizierte Kopie von c:\windows\system32\drivers\netbt.sys wurde gefunden und desinfiziert
Kopie von - The cat found it :) wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2011-11-28 bis 2011-12-29 ))))))))))))))))))))))))))))))
.
.
2011-12-29 20:26 . 2008-04-13 22:51 162816 ----a-w- c:\windows\system32\drivers\netbt.sys
2011-12-29 13:48 . 2011-12-29 13:49 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2011-12-26 10:51 . 2010-10-22 01:00 97360 ----a-w- c:\windows\system32\drivers\Fwusb1b.bin
2011-12-26 10:51 . 2010-10-22 01:00 265088 ----a-w- c:\windows\system32\drivers\fwlanusb.sys
2011-12-25 13:50 . 2011-12-25 14:25 -------- d-----w- c:\dokumente und einstellungen\Werner\DoctorWeb
2011-12-24 17:15 . 2010-10-22 01:00 74240 ----a-w- c:\windows\system32\fwlanci.org
2011-12-24 17:15 . 2011-12-24 17:15 -------- d-----w- c:\programme\AVM_update
2011-12-24 11:08 . 2011-03-10 17:34 34608 ----a-w- c:\windows\system32\drivers\klim5.sys
2011-12-24 11:08 . 2009-11-02 19:27 19472 ----a-w- c:\windows\system32\drivers\klmouflt.sys
2011-12-24 11:08 . 2011-03-04 12:23 11352 ----a-w- c:\windows\system32\drivers\kl2.sys
2011-12-24 11:08 . 2011-03-04 12:23 133208 ----a-w- c:\windows\system32\drivers\kl1.sys
2011-12-24 11:08 . 2011-03-11 11:43 29763 ----a-w- c:\windows\system32\drivers\klopp.dat
2011-12-23 10:21 . 2011-12-23 10:21 -------- d-----w- C:\ClamWinPortable
2011-12-22 19:46 . 2011-12-22 19:46 -------- d-----w- c:\dokumente und einstellungen\Werner\Anwendungsdaten\SUPERAntiSpyware.com
2011-12-22 19:46 . 2011-12-22 19:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-12-22 12:25 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\68097452.sys
2011-12-22 12:25 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\68097451.sys
2011-12-22 12:25 . 2011-12-22 12:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2011-12-22 12:25 . 2011-12-22 12:25 -------- d-----w- c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\NPE
2011-12-22 12:15 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\42465252.sys
2011-12-22 12:15 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\4246525.sys
2011-12-22 12:15 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\42465251.sys
2011-12-21 22:49 . 2011-12-29 20:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2011-12-21 22:49 . 2011-12-21 22:49 -------- d-----w- c:\programme\AVAST Software
2011-12-01 00:42 . 2011-12-01 00:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-29 20:40 . 2008-02-20 16:17 24944 ----a-w- c:\windows\system32\drivers\GVTDrv.sys
2011-11-27 05:49 . 2011-11-27 05:49 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-24 13:29 . 2011-10-24 13:29 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29 69632 ----a-w- c:\windows\system32\QuickTime.qts
2011-11-09 13:11 . 2011-04-30 07:39 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2010-11-20 06:28 . 2010-11-20 06:28 119808 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002ee26-8c11-49eb-9cdf-56eeffef664f}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
2010-06-13 17:10 2734688 ----a-w- c:\programme\HotSpot_International\tbHotS.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\programme\ConduitEngine\prxConduitEngin0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
2011-01-17 14:54 175912 ----a-w- c:\programme\Eazel-DE\prxtbEaz2.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
2011-01-17 14:54 175912 ----a-w- c:\programme\Hotspot_Shield\prxtbHot0.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-01-17 14:54 175912 ----a-w- c:\programme\softonic-de3\prxtbsof2.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2010-05-06 16:06 777904 ----a-w- c:\programme\kikin\ie_kikin.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{c95a4e8e-816d-4655-8c79-d736da1adb6d}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002ee26-8c11-49eb-9cdf-56eeffef664f}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{69B6939F-C70D-45C5-9BBD-E2E2CC3DD8E5}"= "c:\programme\Eazel-DE\prxtbEaz2.dll" [2011-01-17 175912]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-01-17 175912]
"{C95A4E8E-816D-4655-8C79-D736DA1ADB6D}"= "c:\programme\Hotspot_Shield\prxtbHot0.dll" [2011-01-17 175912]
"{0002EE26-8C11-49EB-9CDF-56EEFFEF664F}"= "c:\programme\HotSpot_International\tbHotS.dll" [2010-06-13 2734688]
.
[HKEY_CLASSES_ROOT\clsid\{69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5}]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CLASSES_ROOT\clsid\{c95a4e8e-816d-4655-8c79-d736da1adb6d}]
.
[HKEY_CLASSES_ROOT\clsid\{0002ee26-8c11-49eb-9cdf-56eeffef664f}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-25 39408]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-06-06 4389824]
"ccleaner"="c:\programme\CCleaner\CCleaner.exe" [2010-07-23 1755960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="c:\windows\TBPanel.exe" [2007-11-01 2185768]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-11-20 30192]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-04-28 220552]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"EasyTuneVPro"="c:\programme\Gigabyte\ET5Pro\ETcall.exe" [2007-07-26 20480]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-3-13 110592]
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
hp psc 2000 Series.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-9 323646]
JShotTray.lnk - c:\programme\JShot\JShotTray.exe [2010-4-28 129024]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2010-6-15 106561]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\L:\0autocheck autochk *
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 05:52 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"RoxLiveShare9"=2 (0x2)
"PnkBstrA"=2 (0x2)
"LightScribeService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"hshld"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\Activision Value\\Soldier of Fortune Payback\\sof3.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Programme\\Sierra Entertainment\\TimeShift\\bin\\TimeShift.Exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"f:\\Programme\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"f:\\Programme\\Microsoft Games\\Gears of War\\Binaries\\WarGame-G4WLive.exe"=
"c:\\Programme\\SoulseekNS\\slsk.exe"=
"f:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"f:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"h:\\Programme\\Eidos\\Kane and Lynch Dead Men\\kaneandlynch.exe"=
"h:\\Programme\\Sega\\The Club\\TheClub.exe"=
"h:\\SoldierOfFortune\\SoF.exe"=
"l:\\Programme\\LucasArts\\Star Wars The Force Unleashed 2\\SWTFU2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"l:\\Programme\\Electronic Arts\\Medal of Honor\\Binaries\\moh.exe"=
"l:\\Programme\\Activision\\Call of Duty - Black Ops\\BlackOps.exe"=
"l:\\Programme\\Activision\\Call of Duty - Black Ops\\BlackOpsMP.exe"=
"l:\\Programme\\Activision\\Spider-Man(TM) - Dimensions\\Game.exe"=
"l:\\Programme\\Volition Inc\\Red Faction Guerrilla\\rfg.exe"=
"l:\\Programme\\EA Games\\Dead Space 2\\deadspace2.exe"=
"l:\\Programme\\EA\\Bulletstorm\\Binaries\\Win32\\ShippingPC-StormGame.exe"=
"f:\\Binaries\\UT3.exe"=
"l:\\Programme\\THQ\\Dawn of War II - Retribution\\DOW2.exe"=
"k:\\Programme\\Electronic Arts\\Command & Conquer 4 Tiberian Twilight\\Data\\CNC4.game"=
"l:\\Programme\\Bethesda Softworks\\Brink\\brink.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
R0 42465252;42465252 Boot Guard Driver;c:\windows\system32\drivers\42465252.sys [22.12.2011 13:15 37392]
R0 68097452;68097452 Boot Guard Driver;c:\windows\system32\drivers\68097452.sys [22.12.2011 13:25 37392]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [20.08.2010 17:48 64288]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [25.03.2011 10:56 28552]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.02.2011 16:47 717296]
R1 42465251;42465251;c:\windows\system32\drivers\42465251.sys [22.12.2011 13:15 128016]
R1 68097451;68097451;c:\windows\system32\drivers\68097451.sys [22.12.2011 13:25 128016]
R2 AdobeActiveFileMonitor8.0;Adobe Active File Monitor V8;c:\programme\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe [06.09.2009 05:06 169312]
R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [26.12.2011 11:51 265088]
R3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [20.02.2008 17:17 24944]
R3 MarkFun_NT;MarkFun_NT;c:\programme\Gigabyte\ET5Pro\MARKFUN.W32 [20.02.2008 17:16 17912]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [16.06.2010 22:54 47360]
S0 qitlng;qitlng;c:\windows\system32\drivers\cdbvvsut.sys --> c:\windows\system32\drivers\cdbvvsut.sys [?]
S1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
S1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS --> c:\dokume~1\Werner\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 11:52 135664]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [23.12.2009 12:41 4352]
S3 GetSusp;GetSusp;\??\c:\windows\stinger.sys --> c:\windows\stinger.sys [?]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [20.11.2010 07:28 30192]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 11:52 135664]
S4 hshld;Hotspot Shield Service;c:\programme\Hotspot Shield\bin\openvpnas.exe [03.06.2011 00:18 298824]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - MARKFUN_NT
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2011-12-25 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-12-25 21:32]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-25 10:52]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-25 10:52]
.
2011-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-152049171-725345543-1003Core.job
- c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-01 16:26]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1229272821-152049171-725345543-1003UA.job
- c:\dokumente und einstellungen\Werner\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-07-01 16:26]
.
2011-12-29 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2010-05-26 13:23]
.
2011-12-29 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-05-03 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = fritz.box
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Mozilla\Firefox\Profiles\5hyaw4jz.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2604146&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - foxsearch
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - prefs.js: network.proxy.type - 4
FF - user.js: browser.search.selectedEngine - foxsearch
FF - user.js: browser.search.order.1 - foxsearch
FF - user.js: browser.search.defaultenginename - foxsearch
FF - user.js: keyword.URL - hxxp://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=
FF - user.js: privacy.item.cookies - false
FF - user.js: privacy.sanitize.promptOnSanitize - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{40C3CC16-7269-4B32-9531-17F2950FB06F} - (no file)
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-eBay Icon - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Desktopicon\uninst.exe
AddRemove-Gutscheinmieze - Toolbar - c:\dokumente und einstellungen\Werner\Anwendungsdaten\Gutscheinmieze\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-29 21:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
"ImagePath"="\??\c:\programme\Gigabyte\ET5Pro\markfun.w32"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1229272821-152049171-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e6,b3,51,14,31,77,7d,df,2a,b4,37,a4,0d,00,ae,72,be,35,44,2d,03,d7,ed,
f8,4a,dd,b8,48,b8,57,46,b3,19,96,38,90,96,b7,46,bb,cd,38,9a,0f,f2,af,29,1c,\
"??"=hex:b6,21,88,cf,39,2c,f2,30,73,9e,72,69,de,63,58,5a
.
[HKEY_USERS\S-1-5-21-1229272821-152049171-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:62,57,ea,c9,a2,b5,2b,4b,63,3a,4f,a0,e4,90,b3,20,c8,7f,8a,37,3a,
4a,a7,a7,15,4a,f1,66,9c,d8,e3,02,df,69,0c,9f,95,4c,f4,fa,f1,3e,92,24,eb,2f,\
"rkeysecu"=hex:9f,ca,16,75,83,0a,d6,fd,d2,a5,ab,cb,c1,0d,12,f7
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1388)
c:\programme\SlySoft\AnyDVD\ADvdDiscHlp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Hotspot Shield\HssWPR\hsssrv.exe
c:\programme\Hotspot Shield\bin\hsswd.exe
c:\programme\Maxtor\Sync\SyncServices.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Gigabyte\ET5Pro\GUI.exe
c:\programme\Java\jre6\launch4j-tmp\JShotTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-29 21:43:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-12-29 20:43
.
Vor Suchlauf: 20 Verzeichnis(se), 11.154.550.784 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 11.460.911.104 Bytes frei
.
- - End Of File - - 4A23D1882BBC39D76C01FE3013A6A27C
|
|
29.12.2011, 21:56
| #18 |
| /// Malware-holic   | BKA Trojaner hi,
__________________öffne mal arbeitsplatz c: qoobox rechtsklick quarantain, mit winrar zip oder 7zip packen, nach anleitung hochladen. http://www.trojaner-board.de/54791-a...ner-board.html falls du dazu ein programm benötigst, instaliere winrar: http://www.chip.de/downloads/WinRAR-..._12994655.html wird das ystem für onlinebanking, einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb beruflcihes genutzt?
__________________ |
|
29.12.2011, 22:09
| #19 |
| | BKA Trojaner Nein, da wir keine bösen Überraschungen erleben wollten, erledigen wir Bankgeschäfte in der Realität also in der Filiale vor unserer Haustür. Bestellungen werden entweder per Nachnahme oder per Vorauskasse abgewickelt, bis auf amazon, dort haben wir ein Kundenkonto.... Sollen wir nun noch irgendetwas zusätzlich installieren oder müssen wir, wie in anderen Foren gelesen, das System neu installieren, da es kompromitiert wurde? |
|
29.12.2011, 22:12
| #20 |
| | BKA Trojaner Beruflich nutzen wir ihn auch nicht. Unsere Arbeitgeber lassen nicht einmal zu, daß interne Mails an die Angestellten von einem Netz außerhalb abgerufen werden können. |
|
29.12.2011, 22:18
| #21 |
| | BKA Trojaner Wie Du oben geschrieben hast, wollten wir die Box unter Quarantäne stellen und mit winrar oder 7zip packen. Aber der Button "Quarantäne" ist grau hinterlegt, er läßt sich also nicht ausführen.... Kaspersky hat erfreulicherweise gemeldet, daß dieser Ordner brandgefährlich ist.... Hätte er das mal gemacht, als er im Huckepack mit filesonic kam *rofl* |
|
30.12.2011, 13:47
| #22 |
| /// Malware-holic | BKA Trojaner hi, ihr hattet ein relativ gefährliches rootkit auf dem pc. deswegen würde ich das gerät neu formatieren und windows neu instalieren, und dann erkläre ich, wie man es richtig absichert. keine angst, das formatieren etc geht sehr einfach und ich beantworte alle fragen die aufkommen sollten. ps dann lassen wir das mit dem upload 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu BKA Trojaner |
| anderen, anleitung, cleaner, daten, daten sichern, erstellen, infiziert, infizierte, interne, internetverbindung, kaspersky, löschen, nichts, problem, rechner, scan, scanner, sichern, störenfried, systemwiederherstellung, trojane, trojaner, verbindung, virenscan, virenscanner, weihnachten |
Linear-Darstellung
