Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Deutschlandflagge-Trojaner in ganz neuer Form

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.04.2012, 18:47   #1
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Miteinander,
Meine Frau hat den oben genannten Trojaner auch gekriegt, jedoch in einer anderen Form.
Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der deutschen Flagge auf unseren Notebook gekriegt. Ich war auch zuhause und habe gleich mit dem Task Manager den Rechner neugestartet. Nachdem erfolgte bei jedem Neustart ein Fenster "Öffne mit..." für eine Datei genant genau so, wie auch unserer Notebook heißt. Beim Auswahl von Abbrechen, kommt den gleichen Fenster nochmal und wenn man wieder auf Abbrechen klickt verschwindet das Ganze und kommt während laufenden Betrieb nicht mehr. Erst beim nächsten Neustart wiederholt sich das Ganze.
Soo, ich habe das Verhalten nicht als kritisch gedacht und habe es so gelassen. Erst gestern habe ich endlich nach diese Datei gesucht und habe sie unter "C:\Users\***" gefunden und natürlich auch im Papierkorb gelöscht.
Seitdem ich das gemacht habe startete der Rechner nicht mehr, wenn auch Internetverbindung auch vorhanden war - gleich nach dem Start kommt diese Sicherheitswarnung mit der deutschen Flagge und die Aufforderung 50 Euro zu bezahlen.
Deshalb habe ich den Rechner ohne Internetverbindung gestartet und die gelöschte Datei wiederhergestellt (in dieser Datei sind meine MAC Adressen gespeichert - LAN, WLAN Karte etc.). Seitdem kommt wieder am Anfang der bekannte Fenster "Öffne mit" für die gleiche Datei.
Ich habe versucht der Trojaner zu entfernen (meiner Meinung nach erfolgreich aber bin nicht sicher).
Jetzt kommt aber meine wichtigste Frage. In dieser Zeit, als der Rechner verseucht war, habe ich Online Banking benutzt, sowie ein Paar Kreditkartenbezahlungen ausgeführt. Kann es sein das der Virus meine Daten abgefangen hat? Was kann ich tun? Wie kann ich sicher werden, dass ich das Ding gelöscht habe?
Ich danke an alle, die sich bemühen werden, mir zu helfen!

Freundliche Grüße
Jan

Alt 02.04.2012, 17:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 03.04.2012, 12:44   #3
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Arne,

Erstmal danke für die Hilfe.
Mit Malwarebytes habe ich die letzten Tagen mehrmals gescant. Hier ist der erste log, nachdem ich OTL ausgeführt habe und auch das SkypePM.exe gefixt habe:
Code:
ATTFilter
 
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.31.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Aktiviert

01.04.2012 08:33:56
mbam-log-2012-04-01 (08-33-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 461452
Laufzeit: 2 Stunde(n), 3 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\_OTL\MovedFiles\03312012_234617\C_Users\Kitty i Jori\AppData\Local\Skype\SkypePM.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Danach habe ich auch Windows Defender gestartet, der hat aus was gefunden und gelöscht und dann auch einen Scan mit dem Sophos Antivirusprogramm - hat nichts gezeigt.
In den nächsten Tagen habe ich wieder Malwarebytes ausgeführt. Das Ergebnis war immer:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.02.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Aktiviert

02.04.2012 10:01:27
mbam-log-2012-04-02 (10-01-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 462144
Laufzeit: 2 Stunde(n), 4 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Ich habe gestern nochmal mit Windows Defender und Sophos gescant - beide haben nichts gezeigt.
Nach deiner Anweisung habe ich gestern Abend auch mit ESET einen Scan durchgeführt. Hier das Ergebnis:

Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-02 06:45:05
# local_time=2012-04-02 08:45:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 29948 85021999 0 0
# compatibility_mode=8192 67108863 100 0 147 147 0 0
# compatibility_mode=8449 16775165 100 94 45178069 146658383 0 0
# scanned=388
# found=0
# cleaned=0
# scan_time=156
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-02 10:15:27
# local_time=2012-04-03 12:15:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 30169 85022220 0 0
# compatibility_mode=8192 67108863 100 0 368 368 0 0
# compatibility_mode=8449 16775165 100 94 45178290 146658604 0 0
# scanned=258737
# found=2
# cleaned=0
# scan_time=12557
C:\ProgramData\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi	Win32/Packed.Autoit.E.Gen application (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\Win7codecs\{C01237D6-4A77-4A5C-AA25-A1226A998979}\Win7codecs.msi	Win32/Packed.Autoit.E.Gen application (unable to clean)	00000000000000000000000000000000	I
         
Scheint, das er was gefunden hat, obwohl ich diese Codecs seit lange habe.
Die wichtigste für mich Frage aber bleibt: soll ich meine Konto- und Kreditdaten sperren?

Freundliche Grüße,
Jan
__________________

Geändert von Mistfall (03.04.2012 um 12:47 Uhr) Grund: falschen log eingefügt für den zweiten Malwarebytes Scan

Alt 03.04.2012, 17:08   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Zitat:
Die wichtigste für mich Frage aber bleibt: soll ich meine Konto- und Kreditdaten sperren?
Wenn du kein Risiko eingehen musst du das machen. Dann müsstest du aber auch konsquenterweise gleich dein System neu aufsetzen
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.04.2012, 20:14   #5
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn du kein Risiko eingehen musst du das machen. Dann müsstest du aber auch konsquenterweise gleich dein System neu aufsetzen
Hallo Arne,

Meinst du, dass das Ding noch auf den Rechner ist?

Gruß,
Jan


Alt 03.04.2012, 20:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Das hab ich nicht gesagt. Nur wenn du jedes Risiko ausschließen willst weil du so wichtige Sachen machst, dann führt an der Neuinstallation nichts vorbei
__________________
--> Deutschlandflagge-Trojaner in ganz neuer Form

Alt 03.04.2012, 21:16   #7
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Zitat:
Zitat von cosinus Beitrag anzeigen
Das hab ich nicht gesagt. Nur wenn du jedes Risiko ausschließen willst weil du so wichtige Sachen machst, dann führt an der Neuinstallation nichts vorbei
Hallo Arne,

Tja jedes Risiko kann man sowieso nicht ausschließen. Die Frage ist aber, das Risiko in bestimmten akzeptablen Grenzen zu halten. Meinst du, wenn ich mein Rechner weiter für Online-Banking benutzen will, dass ich das System neu installieren soll? Findest du, dass mein System noch infiziert ist?

Freundliche Grüße,
Jan

Alt 03.04.2012, 21:42   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Dazu müsste man noch genauer analysieren bevor ich hier eine Aussage mache. Ich hab vorher nur eingelenkt weil du wohl doch erhebliche Zweifel bzw. doch etwas beängstigst warst wegen deiner Bankkonten. Wenn ich sowas lese, dann frag ich erst Recht zuerst danach ob du nicht lieber neu aufsetzen willst

Du musst doch halt entscheiden:
Garantiert jeder Schädling weg => neuinstallation
mit sehr hoher Wahrscheinlichkeit alle Schädlinge weg => Bereinigung

Beide Wege sind unangenehm, such dir den am wenigsten unangehmen aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.04.2012, 21:52   #9
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Arne,

Also Neuinstallation klingt für mich zu aufwendig.
Was meinst du unter Bereinigung. Ich habe nämlich das System mit so vielen Virenscanner überprüft, mit OTL und Combofix auch. Was soll ich noch tun?
Und meinst du, dass der Trojaner überhaupt meine Daten gesnifft hat? Wie gesagt, da kam immer 2-mal ein Fenster "Öffnen mit" bei jedem Neustart. War das Ding überhaupt in dieser Zeit aktiv?

Grüße,
Jan

Alt 04.04.2012, 11:20   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Zitat:
mit OTL und Combofix auch. Was soll ich noch tun?
Wieso mit Combofix?
Wieso erwähnst du das jetzt erst und warum hast du nicht gleich alle Logs gepostet
Warum willst du hier Hilfe wenn du hier so intransparent handelst und man sowas wie das mit CF nebenbei erst zufällig nebenbei erfährt?



Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html
Zitat:

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Zitat:
Und meinst du, dass der Trojaner überhaupt meine Daten gesnifft hat?
Wahrscheinlich nicht aber sowas lässt sich nie zu 100% Genauigkeit sagen! Erst recht nicht, wenn man hier nicht alle Logs von dir sieht. Das Fixscript von OTL wäre übrigens auch zu posten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.04.2012, 16:28   #11
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Arne,
Die Benutzung von Combofix habe ich auf eigene Gefahr übernommen, tut mir leid. Zu den logs:
1. OTL habe ich mit folgenden Script ausgeführt:
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
2. Für den Fix habe ich dann das benutzt:
Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [SkypePM] C:\Users\***\AppData\Local\Skype\SkypePM.exe ()
 :Files
C:\Users\***\AppData\Local\Skype
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         
3. Der Log im Ordner _OTL war:
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
C:\Users\***\AppData\Local\Skype\SkypePM.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
 
User: All Users
 
User: Default
 
User: Default User
 
User: ***
->Flash cache emptied: 46086 bytes
 
User: Public
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 55399 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 12118713 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: ***
->Temp folder emptied: 2016 bytes
->Temporary Internet Files folder emptied: 155801206 bytes
->Java cache emptied: 3370199 bytes
->FireFox cache emptied: 1052707245 bytes
->Google Chrome cache emptied: 410112761 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 104605910 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67563 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.658,00 mb
 
 
OTL by OldTimer - Version 3.2.39.2 log created on 03312012_234617

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
4. Danach habe ich Combofix ausgeführt. Der Inhalt der Datei "ComboFix-quarantined-files.txt":
Code:
ATTFilter
2012-03-31 22:31:29 . 2012-03-31 22:31:29            3,904 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1}.reg.dat
2012-03-31 22:31:18 . 2012-03-31 22:31:18               80 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-SynTPEnh.reg.dat
2012-03-31 22:31:18 . 2012-03-31 22:31:18              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440}.reg.dat
2012-03-31 22:31:17 . 2012-03-31 22:31:17               78 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-10.reg.dat
2012-03-31 22:30:56 . 2012-03-31 22:30:56               90 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-Toolbar-10.reg.dat
2012-03-31 22:22:26 . 2009-07-14 01:39:54           83,456 ----a-w-  C:\Qoobox\Quarantine\C\Windows\System32\winver.exe.vir
2012-03-31 22:20:06 . 2012-03-31 22:20:06           21,439 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2012-03-31 22:13:50 . 2012-03-31 22:22:27              170 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2011-03-12 20:50:28 . 2010-11-20 12:18:02          197,632 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\42CC28.exe.vir
2011-01-24 16:33:51 . 2011-01-24 22:34:19              127 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi.vir
2011-01-24 16:33:51 . 2011-01-24 22:34:19            1,488 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi.vir
2011-01-24 16:33:34 . 2011-01-24 22:34:29              106 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr.vir
2011-01-24 16:33:34 . 2011-01-24 22:34:29        1,507,328 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp.vir
2011-01-12 21:42:01 . 2011-01-17 23:02:26               33 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr.vir
2011-01-12 21:42:01 . 2011-01-12 21:42:03        4,310,930 ----a-w-  C:\Qoobox\Quarantine\C\Users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx.vir
         
Der Inhalt der Datei "Add-Remove Programs.txt" ist:
Code:
ATTFilter
4500_G510af_Help
4500G510af
4500G510af_Software_Min
ActiveCheck component for HP Active Support Library
Adobe Flash Player 10 ActiveX
Adobe Reader 9.5.0 - Deutsch
AMD USB Filter Driver
ArcSoft Print Creations
ArcSoft Print Creations - Album Page
ArcSoft Print Creations - Funhouse
ArcSoft Print Creations - Greeting Card
ArcSoft Print Creations - Photo Book
ArcSoft Print Creations - Photo Calendar
ArcSoft Print Creations - Scrapbook
ArcSoft Print Creations - Slimline Card
µTorrent
BufferChm
Catalyst Control Center - Branding
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
Catalyst Control Center Graphics Previews Vista
Catalyst Control Center InstallProxy
Catalyst Control Center Localization All
ccc-core-static
CCC Help Chinese Standard
CCC Help Chinese Traditional
CCC Help Czech
CCC Help Danish
CCC Help Dutch
CCC Help English
CCC Help Finnish
CCC Help French
CCC Help German
CCC Help Greek
CCC Help Hungarian
CCC Help Italian
CCC Help Japanese
CCC Help Korean
CCC Help Norwegian
CCC Help Polish
CCC Help Portuguese
CCC Help Russian
CCC Help Spanish
CCC Help Swedish
CCC Help Thai
CCC Help Turkish
CCScore
CDex - Open Source Digital Audio CD Extractor
DAEMON Tools Lite
Destinations
DeviceDiscovery
Directory Compare
DivX-Setup
DivX Plus DirectShow Filters
DocMgr
DocProc
ESSBrwr
ESSCDBK
ESScore
ESSgui
ESSini
ESSPCD
ESSPDock
ESSTOOLS
essvatgt
FastStone Image Viewer 4.2
Fax
FlashGet 1.9.6.1073
FreePDF (Remove only)
Google Chrome
Google Earth Plug-in
Google Update Helper
GPBaseService2
GPL Ghostscript 8.71
HP Customer Experience Enhancements
HP MediaSmart DVD
HP MediaSmart Webcam
HP Quick Launch Buttons
HP Support Assistant
HP Update
HPAsset component for HP Active Support Library
HPProductAssistant
IDT Audio
IrfanView (remove only)
Java Auto Updater
Java(TM) 6 Update 26
JMicron JMB38X Flash Media Controller Driver
Juniper Networks Host Checker
Juniper Networks Network Connect 6.3.0
Juniper Networks Setup Client
Juniper Networks Setup Client Activex Control
K-Lite Mega Codec Pack 5.4.4
Kodak EasyShare Software
LightScribe System Software
LightScribe Template Labeler
Microsoft Silverlight
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Mozilla Firefox 11.0 (x86 de)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
netbrdg
Notepad++
OfotoXMI
pdfsam
QLBCASL
Realtek 8136 8168 8169 Ethernet Driver
Scan
Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
SFR
SHASTA
skin0001
SKINXSDK
Skype™ 5.8
SmartTools Office DDE-Fix
SmartWebPrinting
SolutionCenter
Sophos Anti-Virus
Sophos AutoUpdate
SpeedFan (remove only)
staticcr
Status
The KMPlayer (remove only)
Toolbox
tooltips
TrayApp
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
VC80CRTRedist - 8.0.50727.6195
VLC media player 1.0.3
VoipCheapCom
VoipRaider
VPRINTOL
WebReg
Windows Media Player Firefox Plugin
WIRELESS
         
5. Nach Combofix habe ich Java und Adobe Reader deinstalliert und wieder neu draufgesetzt und danach mit Mallwarebytes gescant. Die Ergebnisse sind in meinen vorherigen Posts. Danach habe ich mit diverser Virenscanner auch gecheckt und nach deiner Anweisung auch mit ESET.

Habe ich ein Mist gebaut?
Besten Dank für die Unterstützung!

Freundliche Grüße,
Jan

Alt 04.04.2012, 21:54   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Was ist sehen wollte ist das richtige Combofix-Log => C:\combofix.txt!

Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.04.2012, 22:21   #13
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Arne,

Anbei der Combofix Log:

Combofix Logfile:
Code:
ATTFilter
ComboFix 12-03-31.03 - *** 01.04.2012   0:15.1.2 - x64
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1033.18.4094.2765 [GMT 2:00]
ausgeführt von:: c:\users\***\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\JMHL Loader
c:\users\***\AppData\Roaming\42CC28.exe
c:\users\***\AppData\Roaming\Local
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\.ddr
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\0.ddi
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Post_Install_RB_HiQ_de.divx.ddr
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\settings.ddi
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\.ddp
c:\users\***\AppData\Roaming\Local\Temp\DDM\Settings\Temporary Downloaded Files\Post_Install_RB_HiQ_de.divx
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-31  ))))))))))))))))))))))))))))))
.
.
2012-03-31 22:22 . 2012-03-31 22:22	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-03-31 22:22 . 2012-03-31 22:22	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2012-03-31 21:46 . 2012-03-31 21:46	--------	d-----w-	C:\_OTL
2012-03-30 06:43 . 2012-03-14 03:27	8669240	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{6ACC1D5D-A2E1-4358-873E-EB510D6DB756}\mpengine.dll
2012-03-18 08:27 . 2012-03-18 08:27	592824	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-18 08:27 . 2012-03-18 08:27	44472	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-16 14:24 . 2012-03-16 14:24	--------	d-----w-	c:\program files (x86)\Common Files\Skype
2012-03-14 23:09 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-14 23:09 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-03-14 23:09 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-03-14 17:16 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 17:16 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 17:16 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 08:08 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-14 08:08 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-14 08:08 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-14 08:08 . 2012-02-17 06:38	1112064	----a-w-	c:\windows\system32\rdpcorets.dll
2012-03-14 08:08 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-14 08:08 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64\rdpcore.dll
2012-03-14 08:08 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-14 08:08 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-12 09:35 . 2012-03-12 10:45	--------	d-----w-	c:\users\***\AppData\Roaming\Juan M. Aguirregabiria
2012-03-12 09:35 . 2012-03-12 09:35	--------	d-----w-	c:\program files (x86)\Juan M. Aguirregabiria
2012-03-12 07:54 . 2012-03-12 07:54	--------	d-----w-	c:\windows\system32\Macromed
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-12 07:54 . 2011-06-08 05:59	414368	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2009-10-14 12:52	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-01-04 10:44 . 2012-02-15 07:52	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-01-04 08:58 . 2012-02-15 07:52	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-04-30 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7601.17514] .. c:\windows\system32\user32.dll
.
[-] 2011-04-30 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7601.17514] .. c:\windows\SysWOW64\user32.dll
[7] 2010-11-20 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll
[7] 2009-07-14 . E8B0FFC209E504CB7E79FC24E6C085F0 . 833024 . . [6.1.7600.16385] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_3382083abb6e47d4\user32.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PeerBlock"="c:\program files\PeerBlock\peerblock.exe" [2010-11-06 2646128]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]
Sophos AutoUpdate Monitor.lnk - c:\program files (x86)\Sophos_FW\AutoUpdate\ALMon.exe [2010-10-27 245760]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 ntiomin;ntiomin; [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-02-29 158856]
R3 ALSysIO;ALSysIO;c:\users\KITTYI~1\AppData\Local\Temp\ALSysIO64.sys [x]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]
R3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 136176]
R3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]
R3 jrdusbser;Mobile Connector Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\jrdusbser.sys [x]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [x]
R3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [x]
R3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub; [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 SAVOnAccess;SAVOnAccess;c:\windows\system32\DRIVERS\savonaccess.sys [x]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-10-14 92216]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 regi;regi;c:\windows\system32\drivers\regi.sys [x]
S2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SAVAdminService.exe [2010-10-27 69632]
S2 SAVService;Sophos Anti-Virus;c:\program files (x86)\Sophos_FW\Sophos Anti-Virus\SavService.exe [2010-10-27 98304]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - PBFILTER
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-01-22 10:06	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]
.
2012-03-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-05-13 11:55]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2009-07-21 610872]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 660360]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.imesh.com
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Alles mit FlashGet laden - c:\progra~2\FlashGet\jc_all.htm
IE: &Mit FlashGet laden - c:\progra~2\FlashGet\jc_link.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 195.234.128.7 195.234.128.16 85.233.58.60
DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} - hxxp://g80fw.dyndns.org:2015/nvEPLMedia.cab
FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\nlipcmtr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17708
FF - prefs.js: browser.search.selectedEngine - Search Results
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=1083&systemid=1&sr=0&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-10 - (no file)
Toolbar-10 - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-{08DB3902-2CE0-474D-BCE3-0177766CE9F1} - c:\program files (x86)\InstallShield Installation Information\{08DB3902-2CE0-474D-BCE3-0177766CE9F1}\setup.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10c.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10c.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Windows CE Services]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
c:\program files (x86)\Juniper Networks\Common Files\dsNcService.exe
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Sophos_FW\AutoUpdate\ALsvc.exe
c:\program files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-01  00:32:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-31 22:32
.
Vor Suchlauf: 13 Verzeichnis(se), 109.589.585.920 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 109.423.591.424 Bytes frei
.
- - End Of File - - 769E084043696F60AE79053AE394596D
         

Also bis jetzt habe ich gar nicht über leere Ordner geschaut. Jetzt habe ich gesucht - es gibt 2 solche leere Ordner:
1. Resco / Unterordner Defender (leer)
2. VCW VicMan's Photo Editor (leer)

Ich habe nach der Combofix Ausführung mehrere unnötige Programme deinstalliert, kann es daran liegen? Aber eigentlich waren solche Programme nicht installiert,

Gruß,
Jan

Alt 05.04.2012, 00:01   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.04.2012, 08:20   #15
Mistfall
 
Deutschlandflagge-Trojaner in ganz neuer Form - Standard

Deutschlandflagge-Trojaner in ganz neuer Form



Hallo Arne,

Zitat:
Zitat von cosinus Beitrag anzeigen
1.) Geht der normale Modus wieder uneingeschränkt?
Ja, ich habe den Rechner eigentlich gar nicht im abgesicherten Modus bis jetzt gestartet.
Zitat:
Zitat von Mistfall Beitrag anzeigen
Hallo Miteinander,
Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der deutschen Flagge auf unseren Notebook gekriegt. Ich war auch zuhause und habe gleich mit dem Task Manager den Rechner neugestartet. Nachdem erfolgte bei jedem Neustart ein Fenster "Öffne mit..." für eine Datei genant genau so, wie auch unserer Notebook heißt. Beim Auswahl von Abbrechen, kommt den gleichen Fenster nochmal und wenn man wieder auf Abbrechen klickt verschwindet das Ganze und kommt während laufenden Betrieb nicht mehr. Erst beim nächsten Neustart wiederholt sich das Ganze.
Jan
Zitat:
Zitat von cosinus Beitrag anzeigen
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
Ja, es gibt 2 solche Ordner, die leer sind:
1. "Resco" / Unterordner "Defender" (leer)
2. "VCW VicMan's Photo Editor" (leer)

Ich bin mir aber gar nicht sicher, ob die Programme überhaupt auf dem Rechner installiert waren - der Rechner wird hauptsächlich von meiner Frau benutzt. Nach dem Combofix habe ich ein Paar unnötige Programme deinstalliert, solche Namen klingen mir aber gar nicht bekannt vor.

Grüße,
Jan

Antwort

Themen zu Deutschlandflagge-Trojaner in ganz neuer Form
anfang, datei, entfernen, euro, gesucht, internetverbindung, karte, klick, kommt wieder, kreditkarte, lan, manager, neuer, neustart, nicht sicher, notebook, ohne internetverbindung, online, online banking, papierkorb, rechner, rechner verseucht, sicherheitsmeldung, sicherheitswarnung, task manager, trojaner, verbindung, verseucht, virus, wiederholt, wlan



Ähnliche Themen: Deutschlandflagge-Trojaner in ganz neuer Form


  1. Ein ganz, ganz großes Danke schön an Schrauber!!!
    Lob, Kritik und Wünsche - 12.06.2015 (1)
  2. Ganz ganz lieben Dank Schrauber!
    Lob, Kritik und Wünsche - 13.04.2015 (2)
  3. Sicherheitsprogramme in Form eines/mehrerer Trojaner?
    Alles rund um Windows - 07.02.2015 (17)
  4. Bundestrojaner in neuer Form eingefangen
    Log-Analyse und Auswertung - 28.10.2014 (3)
  5. Neuer GVU Trojaner mit Handschellen+ IP; rechts oben Deutschlandflagge; 100 € zur entsperrung
    Log-Analyse und Auswertung - 09.05.2013 (7)
  6. BKA Trojaner.... Vielleicht ein ganz neuer?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2013 (13)
  7. Trojaner, Java Viren und Exploits - in Form von z.B. Rogue.KD, Kalika.E, Agent.MT verschiedene Exploits :(
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (9)
  8. cash-trojaner in form von antivirus programm
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (19)
  9. Weißer Bildschirm trojaner (BKA) in österreichischer form
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (4)
  10. Verschlüsselungstrojaner vermutlich ein ganz Neuer
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (19)
  11. Trojaner mit dem schwarzen Bildschirm, der Deutschlandflagge und 50€
    Log-Analyse und Auswertung - 15.04.2012 (3)
  12. BKA Virus - Deutschlandflagge
    Log-Analyse und Auswertung - 14.04.2012 (7)
  13. Trojaner,Schwarzer Bildschirm, Deutschlandflagge, 50€ zahlen
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (10)
  14. Trojaner, Schwarzer Bildschirm inkl. Deutschlandflagge, 50 Euro
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (23)
  15. Trojaner mit dem schwarzen Bildschirm, der Deutschlandflagge und 50€ zu bezahlen, eingefangen
    Mülltonne - 30.03.2012 (2)
  16. Beim Start kommt ganz ganz kurz ein Bluescreen und dann ist vorbei! :-(
    Log-Analyse und Auswertung - 18.01.2010 (49)
  17. GANZ neuer Rechner (1Tag) und schon HTML/Silly.Gen
    Log-Analyse und Auswertung - 04.05.2009 (21)

Zum Thema Deutschlandflagge-Trojaner in ganz neuer Form - Hallo Miteinander, Meine Frau hat den oben genannten Trojaner auch gekriegt, jedoch in einer anderen Form. Vor etwa 10 Tage hatte meiner Frau die schon berühmte Sicherheitsmeldung, umarmt mit der - Deutschlandflagge-Trojaner in ganz neuer Form...
Archiv
Du betrachtest: Deutschlandflagge-Trojaner in ganz neuer Form auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.