Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GEMA-TROJANER gefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.03.2012, 21:05   #1
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



Hallo und guten Abend,
heute beim surfen im Internet kam die schon mehrfach beschriebene "Warnmeldung der GEMA". Seitdem kann ich nicht mehr auf meinen LAPTOP (Betriebssystem Win Vista) zugreifen. Zunächst war es immer der GEMA Fullscreen, dann im abgesicherten Modus ein FullScreen "Warte auf Verbindungsherstellung" oder so ähnlich. Entgegen eurer Vorgaben habe ich jetzt doch schon bei anderen Threads geschaut und mit Hilfe der OTPLENet.exe-Datei von CD gebootet, den REATAGO Desktop gefunden und den Scan mit dem manuellen Text durchgeführt. Das Ergebnis habe ich als .zip angehängt.
Ich hoffe das war jetzt nicht vorschnell- es "fühlte" sich richtig an.
Bitte um eure Hilfe! Vielen Dank im Voraus,
Jan

Alt 14.03.2012, 21:28   #2
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\suilvo.exe (Radialpoint Inc.)
O4 - HKU\Benutzer_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Benutzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Benutzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Benutzer_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe) - C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UserInit - (C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe) - C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Benutzer_ON_C Winlogon: Shell - (C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe) - C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Benutzer_ON_C Winlogon: UserInit - (C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe) - C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe (All Alex,Inc)
O20 - Winlogon\Notify\yinghay: DllName - C:\Windows\system32\config\systemprofile\AppData\Local\yinghay.dll -  File not found
:Files
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\suilvo.exe
C:\Users\Benutzer\AppData\Roaming\flint4ytw.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 15.03.2012, 11:51   #3
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



So, den ich fix habe ich durchlaufen lassen, am ende hat er mich gefragt, ob ich das system rebooten will, habe ich "ja" geklickt, aber es passiert nichts- jetzt ist OTLPE Fenster geöffnet und unten steht "processing complete!", ein logfile finde ich aber nicht. Unter C:\OTD.txt war nur das alte (glaube ich zumindest, habe den inhalt verglichen) das ich dann gelöscht habe. Anschließend habe ichden fix noch einmal laufen lassen. Jetzt gibt es keine Datei. War das falsch? Ich mache ab sofort nichts mehr von alleine.
Also, die Situation jetzt- OTLPE Fenster geöffnet und unten steht "processing complete!" und keine otl.txt Datei.
Hast du eine Idee? für die Hilfe!
__________________

Alt 15.03.2012, 13:50   #4
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



versuche mal einen manuellen neustart.
falls das nicht geht, reset drücken cd raus und gucken was passiert :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.03.2012, 14:20   #5
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



It's magic! Mein desktop.. Aber alles wieder okay gilt noch nicht oder? Unter c:\ finde ich einen ordner _OTL darin einen ordner "movedfiles" und darin mehrere .txt dateien mit zahlen als titel.


Alt 15.03.2012, 16:28   #6
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



den ganzen ordner moved files packen und hochladen bitte, im upload channel.
__________________
--> GEMA-TROJANER gefangen

Alt 15.03.2012, 19:20   #7
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



So, den Ordner habe ich hochgeladen, das hat funktioniert. Nur bei "Link zum Thema im Forum" habe ich überlegt was da gemeint ist. Habe zuerst dden Forum Strukturbaum eingegeben. Dann aber einfach die Adresszeile die jetzt gerade oben steht. Das scheint richtig gewesen zu sein. Wie gesagt, das war die einziege Schwierigkeit.
Mache dann jetzt Avira wieder an.
VG und Danke Markus!

Alt 15.03.2012, 21:11   #8
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



hi
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.03.2012, 09:58   #9
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



Hi, ich habe das Programm durchlaufen lassen (nachdem ich alle Antivirensoftware abgeschaltet hatte) und mitten drin hat es den Laptop neu gestartet. Dummerweise ist mein AVIRA im Autostart, es kam jetzt immer mal wieder (~10x) eine AVIRA Meldung zwischendurch "... gefunden. Es ist das trojanische Pferd. Was soll gemacht werden? -...löschen -...quarantäne" ich habe dann jedesmal "ignorieren" markiert und OK.
Jetzt ist combofix fertig und hat die log Datei erstellt.
Ui, meine Windowes firewall kann ich nicht wieder starten- Fehlermeldung "es wurde versucht ein link zu einem Verzeichnis zu öffnen, das zum löschen markiert ist" (oder so ähnlich). Und jetzt nochmal als ich den USB Stick "sicher entfernen" wollte:
"C:\Windows\system32\rundll32.exe Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde." GUt oder schlecht?
Hier der Bericht

Combofix.txt

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-03-15.03 - Benutzer 16.03.2012  10:09:42.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6001.1.1252.49.1031.18.1023.408 [GMT 1:00]
ausgeführt von:: c:\users\Benutzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Benutzer\AppData\Roaming\AcroIEHelpe.txt
c:\users\Benutzer\AppData\Roaming\chrtmp
c:\users\Benutzer\AppData\Roaming\e476yexdjs.exe
c:\users\Benutzer\AppData\Roaming\Qaivan\vyyf.exe
c:\users\Benutzer\g7k.exe
c:\users\Benutzer\ylxkrwhfv3.exe
c:\windows\$NtUninstallKB29917$
c:\windows\$NtUninstallKB29917$\1610810301
c:\windows\$NtUninstallKB29917$\69890295\@
c:\windows\$NtUninstallKB29917$\69890295\cfg.ini
c:\windows\$NtUninstallKB29917$\69890295\Desktop.ini
c:\windows\$NtUninstallKB29917$\69890295\keywords
c:\windows\$NtUninstallKB29917$\69890295\L\qnbwvoto
c:\windows\$NtUninstallKB29917$\69890295\U\00000001.@
c:\windows\$NtUninstallKB29917$\69890295\U\00000002.@
c:\windows\$NtUninstallKB29917$\69890295\U\00000004.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000000.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000004.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000032.@
c:\windows\IsUn0407.exe
c:\windows\lgcenter.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-16 bis 2012-03-16  ))))))))))))))))))))))))))))))
.
.
2012-03-16 09:25 . 2012-03-16 09:31	--------	d-----w-	c:\users\Benutzer\AppData\Local\temp
2012-03-16 09:25 . 2012-03-16 09:25	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-16 08:49 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{41D25CD9-F298-4280-860A-D99CE84234E6}\mpengine.dll
2012-03-15 15:13 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-03-15 15:12 . 2012-03-15 19:03	--------	d-----w-	C:\_OTL
2012-03-07 11:46 . 2012-03-07 11:46	--------	d-----w-	c:\program files\Common Files\Java
2012-03-07 11:45 . 2012-03-07 11:45	--------	d-----w-	c:\program files\Java
2012-03-07 00:10 . 2012-03-07 00:10	--------	d-----w-	c:\program files\BabylonToolbar
2012-03-07 00:10 . 2012-03-07 00:10	1710	----a-w-	C:\user.js
2012-03-07 00:09 . 2012-03-07 00:09	--------	d-----w-	c:\users\Benutzer\AppData\Local\Babylon
2012-03-07 00:09 . 2012-03-07 00:09	--------	d-----w-	c:\programdata\Babylon
2012-03-07 00:09 . 2012-03-07 00:09	--------	d-----w-	c:\users\Benutzer\AppData\Roaming\Babylon
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-07 11:45 . 2010-07-14 17:25	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-23 08:18 . 2009-10-03 10:56	237072	------w-	c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2010-03-17 14:45	2355224	----a-w-	c:\program files\Winload\tbWinl.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{40C3CC16-7269-4B32-9531-17F2950FB06F}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17	94208	----a-w-	c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17	94208	----a-w-	c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17	94208	----a-w-	c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2007-04-17 235064]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 4390912]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"MGSysCtrl"="c:\program files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 565248]
"InstantBurn"="c:\progra~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe" [2006-12-04 589824]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-03-22 74752]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-12-07 185896]
"PAC207_Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 911184]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-28 81920]
"VMonitorVMUVC"="c:\program files\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-08-29 143360]
"MRT"="c:\windows\system32\MRT.exe" [2012-03-15 54215544]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Benutzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Benutzer\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-2-15 24246216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-04-28 10:05	86016	----a-w-	c:\windows\System32\nvsvc.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-16 c:\windows\Tasks\User_Feed_Synchronization-{437163A0-2DC0-42A5-A563-CCE3D160DA50}.job
- c:\windows\system32\msfeedssync.exe [2009-10-21 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://isearch.babylon.com/?babsrc=HP_ss&mntrId=a8a56d4b0000000000000015af1e04ca
IE: Free YouTube to Mp3 Converter - c:\users\Benutzer\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Power2GoExpress - (no file)
HKCU-Run-Microsoft® Windows Update - c:\users\Benutzer\M-1-52-5782-8752-5245\winsvc.exe
HKCU-Run-{3B56CAA7-DF8F-6B9A-3CCF-9007D93B4507} - c:\users\Benutzer\AppData\Roaming\Qaivan\vyyf.exe
HKCU-Run-g7k - c:\users\Benutzer\g7k.exe
HKCU-Run-Regedit32 - c:\windows\system32\regedit.exe
HKCU-Run-ylxkrwhfv3 - c:\users\Benutzer\ylxkrwhfv3.exe
HKLM-Run-g7k - c:\programdata\g7k.exe
HKLM-Run-nxdmOFRWTny.exe - c:\programdata\nxdmOFRWTny.exe
HKLM-Run-ylxkrwhfv3 - c:\programdata\ylxkrwhfv3.exe
AddRemove-Need For Speed - Porsche - c:\windows\IsUn0407.exe
AddRemove-SC08-DE_PRO7 - c:\users\Benutzer\Desktop\Eigene Dateien\ski\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-16 10:31
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3545768501-3572627489-1433742203-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D5AB3080-1899-543C-7279-EA0D36EBE095}*]
"haibofbfdmpdamkm"=hex:6b,61,66,6b,6f,67,64,64,70,62,6f,6b,68,6e,66,6d,6d,6a,
   6b,62,64,63,00,00
"gabelbenphblon"=hex:61,63,61,6b,70,66,6b,65,67,6c,67,67,68,6b,61,62,6a,6c,66,
   63,6c,66,63,6f,64,68,6a,6b,70,6d,6e,6f,62,6e,6a,68,61,67,69,6a,70,61,68,70,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(684)
c:\windows\system32\relog_ap.dll
.
- - - - - - - > 'Explorer.exe'(3676)
c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\AntiVir PersonalEdition Classic\sched.exe
c:\program files\LG Software\System Control Manager\edd.exe
c:\program files\O2Micro\o2flash.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\RacAgent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-16  10:44:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-16 09:44
.
Vor Suchlauf: 9.153.482.752 Bytes frei
Nach Suchlauf: 9.136.934.912 Bytes frei
.
- - End Of File - - 1BF8117A2963C648B55E0DC8FAB4A49D
         
--- --- ---

Gut, dann mal sehen, was du draus liest- für mich steht da echt nur Bahnhof. Wie eine Fremdsprache. Vielen Dank auf jeden Fall!

Alt 16.03.2012, 10:07   #10
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



1.
starte mal neu, dann gehen die programme wieder.
2. nutzt du den pc für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.03.2012, 10:26   #11
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



Onlinebanking: Ja - berufliches: habe meine Unisachen darauf gespeichert und verwalte sie, aber nichts gewerbliches.

Alt 16.03.2012, 23:07   #12
JanHolgersen
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



Ich poste mal etwas. Aber ungeduldig bin ich nicht! Alles easy

Alt 18.03.2012, 18:19   #13
markusg
/// Malware-holic
 
GEMA-TROJANER gefangen - Standard

GEMA-TROJANER gefangen



hi.
bank anrufen, onlinebanking wegen zero access rootkit sperren lassen.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GEMA-TROJANER gefangen
abgesicherten, andere, anderen, betriebssystem, desktop, ergebnis, gema-trojaner, gen, guten, hilfe!, hoffe, interne, internet, laptop, meldung, modus, nicht mehr, richtig, scan, surfe, surfen, threads, vista, warnmeldung, win



Ähnliche Themen: GEMA-TROJANER gefangen


  1. BupSystem Trojaner gefangen
    Plagegeister aller Art und deren Bekämpfung - 25.05.2014 (17)
  2. Qvo6: Ich hab mir wohl einen Trojaner gefangen
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (11)
  3. GVU-Trojaner gefangen
    Log-Analyse und Auswertung - 09.09.2012 (12)
  4. GVU Trojaner mit Webcam gefangen. Help!
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (26)
  5. BKA Trojaner gefangen
    Log-Analyse und Auswertung - 08.08.2012 (15)
  6. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  7. BKA Trojaner gefangen am 1.12
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (1)
  8. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)
  9. Trojaner bei ICQ gefangen :( finde die datei nicht
    Plagegeister aller Art und deren Bekämpfung - 27.05.2010 (1)
  10. trojaner gefangen :(
    Log-Analyse und Auswertung - 02.05.2010 (1)
  11. Trojaner gefangen
    Plagegeister aller Art und deren Bekämpfung - 28.07.2009 (1)
  12. trojaner gefangen????????
    Log-Analyse und Auswertung - 17.06.2009 (0)
  13. Ich glaub, ich hab mir was gefangen - Viren oder Trojaner?!
    Plagegeister aller Art und deren Bekämpfung - 19.05.2006 (5)
  14. Trojaner gefangen?? unerwünschte Pop-Ups
    Plagegeister aller Art und deren Bekämpfung - 09.02.2006 (2)
  15. trojaner gefangen?
    Log-Analyse und Auswertung - 09.10.2005 (2)
  16. Trojaner gefangen: Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 13.09.2005 (5)
  17. Ich glaube ich hab e mir einen Trojaner gefangen
    Plagegeister aller Art und deren Bekämpfung - 07.11.2004 (11)

Zum Thema GEMA-TROJANER gefangen - Hallo und guten Abend, heute beim surfen im Internet kam die schon mehrfach beschriebene "Warnmeldung der GEMA". Seitdem kann ich nicht mehr auf meinen LAPTOP (Betriebssystem Win Vista) zugreifen. Zunächst - GEMA-TROJANER gefangen...
Archiv
Du betrachtest: GEMA-TROJANER gefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.