Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 50€-Trojaner: auch mich hat es erwischt.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.01.2012, 10:52   #31
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



OK, noch mal ComboFix heruntergeladen und ausgeführt. Trotz Deinstallation über Systemsteuerung scheint der Geist von McAfee noch über dem PC zu schweben.

Hier ist das Log

Code:
ATTFilter
ComboFix 12-01-23.02 -  25.01.2012  11:35:27.5.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3056.2137 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\CFScript.txt
AV: McAfee  Anti-Virus und Anti-Spyware *Enabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee  Firewall *Enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

FILE ::
"c:\windows\system32\drivers\xcpip.sys"
"c:\windows\system32\drivers\xpsec.sys"
         

Gruß,
Jens

Alt 25.01.2012, 11:26   #32
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Dann probier es bitte im abgesicherten Modus mit Netzwerktreibern
__________________

__________________

Alt 25.01.2012, 12:52   #33
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



So, nun der log, abgesichert+Netzwerktreiber:
Code:
ATTFilter
ComboFix 12-01-23.02 -  25.01.2012  12:38:12.6.4 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3056.2736 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: McAfee  Anti-Virus und Anti-Spyware *Enabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee  Firewall *Enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
-------\Service_xpsec
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-25 bis 2012-01-25  ))))))))))))))))))))))))))))))
.
.
2012-01-24 12:23 . 2012-01-24 12:24	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ScreeNet iSaver
2012-01-24 12:23 . 2012-01-24 12:24	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\ScreeNet iSaver
2012-01-24 12:23 . 2012-01-24 12:23	--------	d-----w-	c:\programme\iSaver
2012-01-14 14:09 . 2012-01-16 06:34	--------	d-----w-	c:\windows\LastGood
2012-01-13 20:09 . 2012-01-13 20:09	--------	d-----w-	C:\_OTL
2012-01-12 20:06 . 2012-01-12 20:06	--------	d-----w-	c:\programme\ESET
2012-01-11 13:30 . 2012-01-11 13:30	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2012-01-11 13:30 . 2011-12-10 14:24	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-01-11 13:15 . 2012-01-11 13:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2012-01-11 13:15 . 2012-01-11 13:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-01-11 08:24 . 2008-04-13 23:10	36352	-c--a-w-	c:\windows\system32\dllcache\disk.sys
2012-01-11 08:24 . 2008-04-13 23:10	36352	----a-w-	c:\windows\system32\drivers\disk.sys
2012-01-06 15:47 . 2008-04-14 12:00	15360	----a-w-	c:\windows\system32\PJLMON.DLL
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-25 21:57 . 2010-03-31 04:27	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2010-03-31 04:27	1859712	----a-w-	c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2010-03-31 04:27	61952	----a-w-	c:\windows\system32\packager.exe
2011-11-16 14:21 . 2010-03-31 04:27	354816	----a-w-	c:\windows\system32\winhttp.dll
2011-11-16 14:21 . 2010-03-31 04:27	152064	----a-w-	c:\windows\system32\schannel.dll
2011-11-14 16:10 . 2011-06-01 17:54	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-03 15:28 . 2010-03-31 04:27	387072	----a-w-	c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2010-03-31 04:27	1297920	----a-w-	c:\windows\system32\quartz.dll
2011-11-01 20:35 . 2010-03-31 04:27	672768	----a-w-	c:\windows\system32\wininet.dll
2011-11-01 20:35 . 2010-03-31 04:27	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-11-01 20:35 . 2010-03-31 04:27	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-11-01 20:34 . 2010-03-31 04:27	371200	----a-w-	c:\windows\system32\html.iec
2011-11-01 16:07 . 2010-03-31 04:27	1288704	----a-w-	c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2010-03-31 04:27	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-04-14 12:01 . 2010-09-17 10:03	24376	----a-w-	c:\programme\mozilla firefox\components\Scriptff.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2012-01-20_06.25.39   )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-01-25 11:45 . 2012-01-25 11:45	53248              c:\windows\temp\catchme.dll
- 2012-01-20 06:25 . 2012-01-20 06:25	53248              c:\windows\temp\catchme.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TSFPLOlayIcon]
@="{F4DD9208-8229-492D-BCBF-2955F7AC38F4}"
[HKEY_CLASSES_ROOT\CLSID\{F4DD9208-8229-492D-BCBF-2955F7AC38F4}]
2010-02-04 00:38	285504	----a-w-	c:\programme\TrueSuite\TrueSuite.FPLOlayIcon.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
"NokiaOviSuite2"="c:\programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2010-02-24 385928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2009-06-17 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2009-09-10 241664]
"TouchED"="c:\programme\TOSHIBA\TouchED\TouchED.exe" [2005-09-01 118784]
"TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2009-12-10 86016]
"TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2009-11-20 118784]
"TNRotate"="c:\programme\TOSHIBA\TNRotate\TNRotate.exe" [2010-02-22 607616]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2009-08-31 143360]
"TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2009-07-02 225280]
"TUSBSleepChargeSrv"="c:\programme\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe" [2009-10-26 253312]
"DDWMon"="c:\programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2007-04-26 495616]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"IMSS"="c:\programme\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2009-09-30 111640]
"nwiz"="nwiz.exe" [2009-12-08 1657448]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-12-08 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-12-08 14786560]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-02 18782720]
"TFncKy"="TFncKy.exe" [BU]
"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2009-07-22 83336]
"NDSTray.exe"="NDSTray.exe" [BU]
"TosSENotify"="c:\programme\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2009-11-05 611672]
"TFNF5"="TFNF5.exe" [2010-02-02 1140032]
"TPSODDCtl"="TPSODDCtl.exe" [2009-11-23 118784]
"TPSMain"="TPSMain.exe" [2009-11-23 303104]
"TWebCamera"="c:\programme\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2009-12-09 2454840]
"TosWaitSrv"="c:\programme\TOSHIBA\TPHM\TosWaitSrv.exe" [2010-02-05 611672]
"ClientAppLogon"="c:\programme\TrueSuite\TrueSuite.ClientAppLogonExe.exe" [2010-02-04 307008]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2011-08-08 611712]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"QuiKProtect"="c:\programme\Iomega\QuikProtect\StartQuikProtect.exe" [2010-06-24 58672]
"PrnStatusMX"="c:\programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe" [2007-08-29 1077248]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-10-26 273528]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-12-24 460872]
"iSaverCtrl"="c:\programme\iSaver\iSaverCtrl.exe" [2008-07-07 1142784]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"TOSHIBA Online Product Information"="c:\programme\TOSHIBA\Toshiba Online Product Information\topi.exe" [2009-03-16 6158240]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2010-1-6 2717024]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Iomega\\QuikProtect\\QuikProtect.exe"=
.
R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [29.06.2009 09:25 29760]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [11.05.2009 18:11 6528]
R2 rimspci;rimspci;c:\windows\system32\drivers\rimspe86.sys [01.06.2010 19:41 47104]
R2 risdpcie;risdpcie;c:\windows\system32\drivers\risdpe86.sys [01.06.2010 19:41 48128]
R2 rixdpcie;rixdpcie;c:\windows\system32\drivers\rixdpe86.sys [01.06.2010 19:41 38400]
R2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\drivers\TVALZFL.sys [30.04.2008 20:09 4992]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [31.03.2010 05:27 160424]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [14.10.2002 04:45 44800]
S1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.sys [14.10.2002 05:24 5888]
S2 ATService;AuthenTec Fingerprint Service;c:\programme\Fingerprint Sensor\ATService.exe [16.11.2009 01:10 2034936]
S2 FPLService;TrueSuiteService;c:\programme\TrueSuite\TrueSuite.Service.exe [04.02.2010 01:38 108352]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.01.2012 14:30 652872]
S2 QSCopyEngine;QSCopyEngine;c:\programme\Iomega\QuikProtect\QpMonitor.exe [24.06.2010 16:04 247088]
S2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [26.03.2007 12:22 105856]
S2 Tmesrv;Tmesrv3;c:\programme\TOSHIBA\TME3\TMESRV31.exe [14.10.2002 05:24 118784]
S2 trudf;TOSHIBA DVD-RAM UDF File System Driver;c:\windows\system32\drivers\trudf.sys [19.02.2007 12:15 134016]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [01.06.2010 19:31 2320920]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [01.06.2010 19:36 1684736]
S3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [01.06.2010 19:47 671488]
S3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [01.06.2010 19:36 132352]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.01.2012 14:30 20464]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [12.10.2009 22:33 57576]
S3 PGEffect;Pangu effect driver;c:\windows\system32\drivers\PGEffect.sys [01.06.2010 19:46 24064]
S3 QsFsFltr;QsFsFltr;c:\windows\system32\drivers\QsFsFltr.sys [10.11.2010 21:00 13824]
S3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\programme\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [05.11.2009 08:15 111960]
S3 TPCHSrv;TPCH Service;c:\programme\TOSHIBA\TPHM\TPCHSrv.exe [05.02.2010 16:48 677232]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.03.2010 05:27 14336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM	REG_MULTI_SZ   	WINRM
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-25 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3823346913-4111906814-4157629624-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 17:40]
.
2012-01-25 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3823346913-4111906814-4157629624-1005.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 17:40]
.
2012-01-25 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-06-04 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 141.2.22.74 141.2.149.10 141.2.86.211
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\pckhf0tx.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-25 12:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(868)
c:\windows\system32\TrueSuite.GINA.dll
c:\windows\system32\AFSSClientLib.dll
c:\programme\TrueSuite\TrueSuite.MuiResource.dll
c:\programme\TrueSuite\TrueSuite.AUTH.dll
c:\programme\TrueSuite\TrueSuite.OAE.dll
c:\programme\TrueSuite\TrueSuite.TBAUtilities.dll
c:\programme\TrueSuite\NLog.dll
c:\programme\TrueSuite\TrueSuite.MuiDll.dll
c:\programme\TrueSuite\TrueSuite.EDS.dll
c:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll
c:\programme\TrueSuite\Authentec.DotNetClientLib.dll
c:\programme\TrueSuite\en-US\TrueSuite.AUTH.resources.dll
.
- - - - - - - > 'Explorer.exe'(1620)
c:\programme\TrueSuite\TrueSuite.FPLOlayIcon.dll
.
Zeit der Fertigstellung: 2012-01-25  12:46:52
ComboFix-quarantined-files.txt  2012-01-25 11:46
ComboFix2.txt  2012-01-24 21:00
ComboFix3.txt  2012-01-21 11:30
ComboFix4.txt  2012-01-20 13:44
ComboFix5.txt  2012-01-25 10:34
.
Vor Suchlauf: 15 Verzeichnis(se), 244.697.735.168 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 244.681.768.960 Bytes frei
.
- - End Of File - - 6C8958CEE17C3950E1A257B0B0B0770E
         
Gruß, Jens ()
__________________

Alt 25.01.2012, 12:53   #34
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Mach wieder weiter im normalen Modus

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.01.2012, 07:10   #35
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Guten Morgen Arne,
anbei die neuesten logs:

1. GMER
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-01-26 06:06:05
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 Hitachi_ rev.PC3O
Running: s0ifz8bb.exe; Driver: C:\WINDOWS\TEMP\kwdyqpob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\drivers\tos_sps32.sys                                                                                         section is writeable [0xB7C29480, 0x3C939, 0xE8000020]
.dsrt  C:\WINDOWS\system32\drivers\tos_sps32.sys                                                                                         unknown last section [0xB7C6A900, 0x3CA, 0x48000040]
.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                          section is writeable [0xB7376380, 0x3E5D65, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\programme\real\realplayer\update\realsched.exe[2752] kernel32.dll!SetUnhandledExceptionFilter                                  7C84495D 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\ContentTypeSniffers\VideoFilesContentSniffer@RelPattern  *.asf?*.avi?*.divx?*.mov?*.mpeg?*.mpg?*.ogm?*.qt?*.rm?*.wmv?*.mkv?*.vob?*.m1v?*.m2v?*.swf?*.fli?*.flc?*.flic?*.dat?*.mp4?*.mpe?*.3gp?*.3g2?*.ts?*.tp?*.trp?*.k3g?*.flv?*.m4v?*.mpg?VIDEO\*.mpg?*.

---- Disk sectors - GMER 1.0.15 ----

Disk   \Device\Harddisk0\DR0                                                                                                             malicious Win32:MBRoot code @ sector 625137348

---- EOF - GMER 1.0.15 ----
         
2. OSAM
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:56:29 on 26.01.2012

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.8

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"RealUpgradeLogonTaskS-1-5-21-3823346913-4111906814-4157629624-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"RealUpgradeScheduledTaskS-1-5-21-3823346913-4111906814-4157629624-1005.job" - "RealNetworks, Inc." - C:\Programme\Real\RealUpgrade\realupgrade.exe
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"Hwsetup.cpl" - "TOSHIBA Corp." - C:\WINDOWS\system32\Hwsetup.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
"tmeprop.cpl" - "TOSHIBA Corp." - C:\WINDOWS\system32\tmeprop.cpl
"TPwrSave.cpl" - "TOSHIBA Corporation" - C:\WINDOWS\system32\TPwrSave.cpl
"TUSBSleepCharge.cpl" - "TOSHIBA" - C:\WINDOWS\system32\TUSBSleepCharge.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
"TosBtLocalCOM" - "TOSHIBA CORPORATION" - C:\Programme\Toshiba\Bluetooth Toshiba Stack\sys\LocalCOM.cpl
"ToshSrv" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Controls\ToshSrv.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"adfs" (adfs) - "Adobe Systems, Inc." - C:\WINDOWS\system32\drivers\adfs.sys
"catchme" (catchme) - ? - C:\WINDOWS\TEMP\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"McAfee Inc. mferkdk" (mferkdk) - ? - C:\WINDOWS\System32\drivers\mferkdk.sys  (File not found)
"McAfee Inc. mfesmfk" (mfesmfk) - ? - C:\WINDOWS\System32\drivers\mfesmfk.sys  (File not found)
"MPFP" (MPFP) - ? - C:\WINDOWS\System32\Drivers\Mpfp.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"QsFsFltr" (QsFsFltr) - "Windows (R) Codename Longhorn DDK provider" - C:\WINDOWS\System32\DRIVERS\QsFsFltr.sys
"TMEI3E" (TMEI3E) - "Toshiba Corporation" - C:\WINDOWS\System32\Drivers\TMEI3E.SYS
"TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver" (TVALZFL) - "TOSHIBA Corporation" - C:\WINDOWS\System32\DRIVERS\TVALZFL.sys
"TOSHIBA Network Device Usermode I/O Protocol" (Netdevio) - "TOSHIBA Corporation." - C:\WINDOWS\System32\DRIVERS\netdevio.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? -   (File not found | COM-object registry key not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} "IZArc DragDrop Menu" - ? - C:\Programme\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{BC593DF5-466F-44EC-8FFD-C4DBC603B917} "IZArc Shell Context Menu" - ? - C:\Programme\IZArc\IZArcCM.dll  (File found, but it contains no detailed information)
{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8} "JetFlExt Class" - "JetAudio" - C:\Programme\JetAudio\JetFlExt.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{6D0E6651-1CD8-11d6-92C4-0003479E4848} "NVIDIA NT4 Multimon Control Panel Extension" - ? -   (File not found | COM-object registry key not found)
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\programme\real\realplayer\rpshell.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{C4213067-97B3-4929-9B98-B5600FBBBA13} "TouchShellExt Class" - "TOSHIBA Corporation" - C:\PROGRA~1\TOSHIBA\TouchED\TouchED.dll
{D7B901C9-669E-4D2D-9946-CB8701E102FF} "TrueSuiteCMenu" - "AuthenTec, Inc." - C:\Programme\TrueSuite\TrueSuite.CMShelExt.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
{898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Click to Call" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
{27B4851A-3207-45A2-B947-BE8AFE6163AB} "McAfee Phishing Filter" - ? - c:\progra~1\mcafee\msk\mskapbho.dll  (File not found)
{3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
{8590886E-EC8C-43C1-A32C-E4C2B0B6395B} "TrueSuite Website Log On" - "AuthenTec Inc." - C:\Programme\TrueSuite\TrueSuite.IEBHO.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Bluetooth Manager.lnk" - "TOSHIBA CORPORATION." - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"NokiaOviSuite2" - "Nokia" - C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray
"TOSHIBA Online Product Information" - "TOSHIBA" - C:\Programme\TOSHIBA\Toshiba Online Product Information\topi.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"000StTHK" - ? - 000StTHK.exe  (File found, but it contains no detailed information)
"00THotkey" - "TOSHIBA Corporation" - C:\WINDOWS\system32\00THotkey.exe
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AdobeCS4ServiceManager" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"CFSServ.exe" - ? - CFSServ.exe -NoClient  (File not found)
"ClientAppLogon" - "AuthenTec, Inc." - C:\Programme\TrueSuite\TrueSuite.ClientAppLogonExe.exe
"DDWMon" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
"IMSS" - ? - "C:\Programme\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe"
"iSaverCtrl" - "infoMantis GmbH" - C:\Programme\iSaver\iSaverCtrl.exe --startup
"ITSecMng" - "TOSHIBA CORPORATION" - %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
"iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe"
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"NDSTray.exe" - ? - NDSTray.exe  (File not found)
"NokiaMServer" - "Nokia" - C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles startup
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"QuiKProtect" - "Iomega Corporation - An EMC Company" - C:\Programme\Iomega\QuikProtect\StartQuikProtect.exe
"SmoothView" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"TFncKy" - ? - TFncKy.exe  (File not found)
"TFNF5" - "TOSHIBA Corp." - TFNF5.exe
"ThpSrv" - "TOSHIBA Corporation" - C:\WINDOWS\system32\thpsrv /logon
"TkBellExe" - "RealNetworks, Inc." - "C:\programme\real\realplayer\update\realsched.exe"  -osboot
"TMERzCtl.EXE" - "TOSHIBA" - C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
"TMESRV.EXE" - "TOSHIBA" - C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
"TNRotate" - "TOSHIBA Corporation" - %ProgramFiles%\TOSHIBA\TNRotate\TNRotate.exe
"TosHKCW.exe" - "TOSHIBA CORPORATION" - "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
"TosSENotify" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe
"TosWaitSrv" - "TOSHIBA Corporation" - %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe
"TouchED" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TouchED\TouchED.exe
"TPSMain" - "TOSHIBA Corporation" - TPSMain.exe
"TPSODDCtl" - "TOSHIBA Corporation" - TPSODDCtl.exe
"TUSBSleepChargeSrv" - "TOSHIBA" - %ProgramFiles%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe
"TWebCamera" - "TOSHIBA CORPORATION." - "C:\Programme\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Adobe Drive CS4 Network" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Toshiba Bluetooth Monitor" - "TOSHIBA CORPORATION." - C:\WINDOWS\system32\tbtmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"AuthenTec Fingerprint Service" (ATService) - "AuthenTec, Inc." - C:\Programme\Fingerprint Sensor\atservice.exe
"ConfigFree Service" (CFSvcs) - "TOSHIBA CORPORATION" - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Intel(R) Management & Security Application User Notification Service" (UNS) - "Intel Corporation" - C:\Programme\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
"Intel(R) Management and Security Application Local Management Service" (LMS) - "Intel Corporation" - C:\Programme\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"McAfee Personal Firewall Service" (MpfService) - ? - C:\Programme\McAfee\MPF\MPFSrv.exe  (File not found)
"McAfee SystemGuards" (McSysmon) - ? - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe  (File not found)
"Microsoft Office Diagnostics Service" (odserv) - ? - "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE"  (File not found)
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\WINDOWS\system32\nvsvc32.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"QSCopyEngine" (QSCopyEngine) - ? - C:\Programme\Iomega\QuikProtect\QpMonitor.exe
"ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
"Tmesrv3" (Tmesrv) - "TOSHIBA" - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
"TOSHIBA Bluetooth Service" (TOSHIBA Bluetooth Service) - "TOSHIBA CORPORATION" - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
"TOSHIBA Festplattenschutz" (Thpsrv) - "TOSHIBA Corporation" - C:\WINDOWS\system32\ThpSrv.exe
"TOSHIBA HDD SSD Alert Service" (TOSHIBA HDD SSD Alert Service) - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe
"TOSHIBA Navi Support Service" (TNaviSrv) - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
"TOSHIBA Optical Disc Drive Service" (TODDSrv) - "TOSHIBA Corporation" - C:\WINDOWS\system32\TODDSrv.exe
"TPCH Service" (TPCHSrv) - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TPHM\TPCHSrv.exe
"TrueSuiteService" (FPLService) - "AuthenTec, Inc" - C:\Programme\TrueSuite\TrueSuite.Service.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "Magiena" - C:\WINDOWS\system32\Fflower.scr
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"GinaDLL" - "AuthenTec" - C:\WINDOWS\system32\TrueSuite.GINA.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
         
3. aswMBR
Code:
ATTFilter
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-01-26 20:59:40
-----------------------------
20:59:40.265    OS Version: Windows 5.1.2600 Service Pack 3
20:59:40.265    Number of processors: 4 586 0x2502
20:59:40.265    ComputerName: ***1  UserName: ***
20:59:41.390    Initialize success
21:11:44.078    AVAST engine defs: 12012602
21:12:54.375    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
21:12:54.375    Disk 0 Vendor: Hitachi_ PC3O Size: 305245MB BusType: 3
21:12:54.703    Disk 0 MBR read successfully
21:12:54.703    Disk 0 MBR scan
21:12:54.734    Disk 0 Windows XP default MBR code
21:12:54.734    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       305242 MB offset 63
21:12:54.750    Disk 0 scanning sectors +625137345
21:12:54.765    Disk 0 malicious Win32:MBRoot code @ sector 625137348 !
21:12:54.796    Disk 0 scanning C:\WINDOWS\system32\drivers
21:13:01.343    Service scanning
21:13:02.234    Modules scanning
21:13:07.890    Disk 0 trace - called modules:
21:13:07.890    ntkrnlpa.exe CLASSPNP.SYS disk.sys thpdrv.sys hal.dll ACPI.sys iaStor.sys 
21:13:07.906    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x895795c8]
21:13:07.906    3 CLASSPNP.SYS[b80e8fd7] -> nt!IofCallDriver -> \Device\THPDRV1[0x8af228f8]
21:13:07.906    5 thpdrv.sys[b833ae1f] -> nt!IofCallDriver -> \Device\00000072[0x8a57f920]
21:13:07.906    7 ACPI.sys[b7f7e620] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8a57a028]
21:13:09.015    AVAST engine scan C:\WINDOWS
21:13:21.156    AVAST engine scan C:\WINDOWS\system32
21:15:33.796    AVAST engine scan C:\WINDOWS\system32\drivers
21:15:49.250    AVAST engine scan C:\Dokumente und Einstellungen\***
00:39:50.015    AVAST engine scan C:\Dokumente und Einstellungen\All Users
00:41:06.359    Scan finished successfully
06:32:42.203    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
06:32:42.203    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"
         
Gruß,
Jens


Alt 27.01.2012, 10:05   #36
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Zitat:
Default Browser: Mozilla Corporation Firefox 3.6.8
Äh, du nutzt noch tatsächlich den alten 3.6er Zweig vom FF? Und wenn ja, warum nur Version 3.6.8, du hast schonmal von Browserupdates gehört?

Zitat:
21:12:54.750 Disk 0 scanning sectors +625137345
21:12:54.765 Disk 0 malicious Win32:MBRoot code @ sector 625137348 !
Ist nicht so wild wie es aussieht, man bekommt es aber weg. Mach aber erstmal einen Überblick für mich:

Live-System PartedMagic / GParted

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol PartitionEditor auf dem Desktop finden, das doppelklicken
5. Wenn das Tool die Partitionen aufgelistet hat, bitte einen Screenshot mit Hilfe der Taste DRUCK auf der Tastatur erstellen, diesen Screenshot hier posten (idR hast du einen Internetzugang mit PartedMagic, wenn nicht einfach den Screenshot auf einem Stick abspeichern und unter Windows hier posten)
__________________
--> 50€-Trojaner: auch mich hat es erwischt.

Alt 04.02.2012, 13:53   #37
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Hi Arne,
war eine Woche beschäftigt. Irgendwie hat das ganze für mich etwas von Schnitzeljagd...

Wie gewünscht, im Attachment der screenshot.
Jens
Angehängte Grafiken
Dateityp: jpg Screenshot.jpg (77,4 KB, 87x aufgerufen)

Alt 05.02.2012, 17:29   #38
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Klick bitte den unzugeordneten Bereich mit Rechts an und klick dann auf Info. Mach von dem Infofeld einen Screenshot und poste diesen hier auch
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.02.2012, 20:48   #39
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



ignoriere diesen Anhang, er ist der alte screenshot
Angehängte Grafiken
Dateityp: jpg Screenshot.jpg (77,4 KB, 88x aufgerufen)

Alt 05.02.2012, 20:50   #40
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Jetzt der richtige Screenshot!
Angehängte Grafiken
Dateityp: jpg Screenshot-1.jpg (84,9 KB, 90x aufgerufen)

Alt 05.02.2012, 21:31   #41
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Willst du den Sektorenbereich mit dem bösen Code überschreiben (nullen) lassen?

Wenn ja dann bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen!

Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt:

Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können)

WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!!

Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung:


Code:
ATTFilter
dd if=/dev/zero of=/dev/sda seek=625137346 bs=512
         
Wenn du dir sicher bist das genau so eingetippt zu haben wie es da bei mir steht, dann drücke die Eingabetaste. Es dauert nicht lange, dann hast du wieder die Zeile und sinngemäß so etwas wie

5102+0 Datensätze ein
5102+0 Datensätze aus


Wenn das so rauskaum (können auch 5103 statt 5102 sein) wurden die letzten 5102 Sekoren (und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows.
Mach dort einen neuen scan mit aswMBR und poste wieder das Log.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.02.2012, 08:09   #42
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Hallo Arne, ich habe die Bereinigung noch nicht durchgeführt weil mein Computer seit der Image-Aktion irgendwie unrund läuft. Das Booten ("Windows wird fortgesetzt") dauert ewig lange (mehrere Minuten) und in regelmäßigen Abständen macht die Festplatte ein merkwürdiges Geräusch, so ein "Klack", genau so wie wenn man das System mittels Hardware-Reset anhält. Ansonsten keine signifikanten Symptome.
Habe mehrmals neu gestartet; es hat sich hier aber nichts geändert.
Siehst Du Zusammenhänge mit den Aktionen?
Danke im Voraus, Jens

Alt 10.02.2012, 12:09   #43
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Nee nicht wirklich. Hast du schon mit dem Linux-Befehl die Sektoren am Ende überschrieben?
Falls was mit deiner Platte ist, es gibt einige Tools um die PLatte zu überprüfen. Im ersten Schritt reicht zB sowas wie der Piriform Defraggler, der ist zwar zum Defrag gedacht, kann aber auch die SMART Werte der Platte auslesen. Im nächsten Schritt müsste man mal die Platte mit dem Diagnosetools der Herstellers auf Herz&Nieren prüfen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.02.2012, 14:13   #44
borodin
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Zitat:
Zitat von cosinus Beitrag anzeigen
[...]Hast du schon mit dem Linux-Befehl die Sektoren am Ende überschrieben?[...]
Definitiv nicht. Ich schau mal nach Deinen Vorschlägen...

Alt 10.02.2012, 15:39   #45
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50€-Trojaner: auch mich hat es erwischt. - Standard

50€-Trojaner: auch mich hat es erwischt.



Das hier war das => http://www.trojaner-board.de/107981-...tml#post766071
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu 50€-Trojaner: auch mich hat es erwischt.
50€-trojaner, 50€-virus, erwischt, folge, folgende, forum, gmer, log, malwarebytes, maßnahme, maßnahmen, troja, trojaner, windows



Ähnliche Themen: 50€-Trojaner: auch mich hat es erwischt.


  1. BKA Trojaner hat auch mich erwischt .
    Log-Analyse und Auswertung - 25.10.2014 (5)
  2. Interpol Trojaner, jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 05.02.2014 (5)
  3. Interpol Trojaner - nun hats mich auch erwischt
    Log-Analyse und Auswertung - 03.10.2013 (3)
  4. GVU Trojaner.. auch mich eiskalt erwischt.
    Log-Analyse und Auswertung - 02.03.2013 (8)
  5. DVU-Trojaner hat auch mich erwischt - ist alles weg ?
    Log-Analyse und Auswertung - 21.01.2013 (19)
  6. GVU Trojaner - Mich hat es auch erwischt!
    Plagegeister aller Art und deren Bekämpfung - 13.01.2013 (21)
  7. Auch mich aht der GVU Trojaner erwischt
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (2)
  8. GVU-Trojaner ... hat mich auch erwischt :(
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (9)
  9. GVU-Trojaner hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (7)
  10. Verschlüsselungs-Trojaner hat auch mich erwischt
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (5)
  11. Ja hmm.. mich hatts auch erwischt mit dem Wiondows Trojaner :-( ich bekomm den bloss nicht weg.
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (1)
  12. BKA-Trojaner hat auch mich erwischt-OTL-Logfile anbei!
    Log-Analyse und Auswertung - 02.05.2012 (4)
  13. UKash-Trojaner hat mich auch erwischt-.-
    Mülltonne - 17.03.2012 (0)
  14. 50€ Trojaner - mich hat es dann auch mal erwischt -.-
    Plagegeister aller Art und deren Bekämpfung - 25.01.2012 (10)
  15. Facebook Trojaner JPG.SCR - Auch mich hat´s erwischt :(
    Log-Analyse und Auswertung - 19.10.2011 (9)
  16. Jetzt hats mich auch erwischt...Trojaner und sonstiger Besuch :-(
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (5)
  17. Nu hat es mich auch erwischt! trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.09.2005 (6)

Zum Thema 50€-Trojaner: auch mich hat es erwischt. - OK, noch mal ComboFix heruntergeladen und ausgeführt. Trotz Deinstallation über Systemsteuerung scheint der Geist von McAfee noch über dem PC zu schweben. Hier ist das Log Code: Alles auswählen Aufklappen - 50€-Trojaner: auch mich hat es erwischt....
Archiv
Du betrachtest: 50€-Trojaner: auch mich hat es erwischt. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.