| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Starker Verdacht auf Virus/TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.05.2012, 18:12
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Starker Verdacht auf Virus/Trojaner Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
03.05.2012, 18:33
| #17 |
 | Starker Verdacht auf Virus/Trojaner Bittesehr
__________________Code:
ATTFilter ComboFix 12-05-03.01 - Nico 03.05.2012 19:22:50.1.6 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.49.1031.18.3583.2587 [GMT 2:00]
ausgeführt von:: c:\users\Nico\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\cmd.exe
C:\Install.exe
c:\users\Nico\AppData\Local\assembly\tmp
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-04-03 bis 2012-05-03 ))))))))))))))))))))))))))))))
.
.
2069-11-22 14:48 . 2005-11-30 15:06 7254894 ----a-w- c:\program files\Mozilla Firefox\speed.exe
2069-11-22 14:48 . 2005-11-15 08:56 380928 ----a-r- c:\program files\Mozilla Firefox\server.dll
2012-05-02 20:55 . 2012-05-02 20:55 -------- d-----w- C:\_OTL
2012-05-01 22:16 . 2012-04-13 07:36 6734704 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{27B27FBB-AF61-488F-A999-ED4895E4F89C}\mpengine.dll
2012-05-01 16:56 . 2012-05-01 16:56 -------- d-----w- c:\program files\ESET
2012-04-30 22:54 . 2012-04-30 22:54 -------- d-----w- c:\users\Nico\AppData\Roaming\QuickScan
2012-04-21 19:12 . 2009-07-14 01:14 301568 ----a-w- c:\windows\system32\Utilman.exe
2012-04-20 15:27 . 2012-04-20 15:32 -------- d-----w- c:\program files\Diablo III Beta
2012-04-20 15:25 . 2012-04-20 15:26 -------- d-----w- c:\programdata\Battle.net
2012-04-11 20:23 . 2012-02-28 01:03 2382848 ----a-w- c:\windows\system32\mshtml.tlb
2012-04-11 20:19 . 2012-03-01 05:53 19312 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-11 20:19 . 2012-03-01 05:40 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-11 20:19 . 2012-03-01 05:49 172544 ----a-w- c:\windows\system32\wintrust.dll
2012-04-11 20:19 . 2012-03-01 05:45 158720 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-11 20:18 . 2012-03-06 05:59 3958128 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 20:18 . 2012-03-06 05:59 3902320 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-04-05 20:46 . 2012-04-05 20:46 -------- d-----w- c:\program files\NVIDIA Corporation
2012-04-05 19:17 . 2012-04-05 19:17 -------- d-----w- c:\windows\system32\Unleashed
2012-04-05 19:17 . 2012-04-05 19:18 -------- d-----w- c:\program files\Mass Effect 2
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-04 13:56 . 2011-09-09 02:22 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-24 22:43 . 2012-03-24 22:43 314880 ----a-w- c:\windows\system32\fmodex.dll
2012-03-16 13:49 . 2012-03-16 13:49 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2012-03-16 13:49 . 2012-03-16 13:49 161792 ----a-w- c:\windows\system32\msls31.dll
2012-03-16 13:49 . 2012-03-16 13:49 86528 ----a-w- c:\windows\system32\iesysprep.dll
2012-03-16 13:49 . 2012-03-16 13:49 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2012-03-16 13:49 . 2012-03-16 13:49 74752 ----a-w- c:\windows\system32\iesetup.dll
2012-03-16 13:49 . 2012-03-16 13:49 63488 ----a-w- c:\windows\system32\tdc.ocx
2012-03-16 13:49 . 2012-03-16 13:49 48640 ----a-w- c:\windows\system32\mshtmler.dll
2012-03-16 13:49 . 2012-03-16 13:49 420864 ----a-w- c:\windows\system32\vbscript.dll
2012-03-16 13:49 . 2012-03-16 13:49 367104 ----a-w- c:\windows\system32\html.iec
2012-03-16 13:49 . 2012-03-16 13:49 35840 ----a-w- c:\windows\system32\imgutil.dll
2012-03-16 13:49 . 2012-03-16 13:49 23552 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-16 13:49 . 2012-03-16 13:49 152064 ----a-w- c:\windows\system32\wextract.exe
2012-03-16 13:49 . 2012-03-16 13:49 150528 ----a-w- c:\windows\system32\iexpress.exe
2012-03-16 13:49 . 2012-03-16 13:49 142848 ----a-w- c:\windows\system32\ieUnatt.exe
2012-03-16 13:49 . 2012-03-16 13:49 11776 ----a-w- c:\windows\system32\mshta.exe
2012-03-16 13:49 . 2012-03-16 13:49 110592 ----a-w- c:\windows\system32\IEAdvpack.dll
2012-03-16 13:49 . 2012-03-16 13:49 101888 ----a-w- c:\windows\system32\admparse.dll
2012-03-06 23:15 . 2011-11-18 18:09 41184 ----a-w- c:\windows\avastSS.scr
2012-03-06 23:15 . 2011-11-18 18:09 201352 ----a-w- c:\windows\system32\aswBoot.exe
2012-03-06 23:03 . 2011-11-18 18:10 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-03-06 23:03 . 2011-11-18 18:10 337880 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-03-06 23:02 . 2012-03-25 14:33 44376 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2012-03-06 23:01 . 2011-11-18 18:10 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-03-06 23:01 . 2011-11-18 18:10 57688 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2012-03-06 23:01 . 2011-11-18 18:10 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-02-23 08:18 . 2011-06-04 13:13 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-15 05:44 . 2012-03-14 12:52 826368 ----a-w- c:\windows\system32\rdpcore.dll
2012-02-15 04:22 . 2012-03-14 12:52 177152 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-02-15 04:22 . 2012-03-14 12:52 24064 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-02-10 05:41 . 2012-03-14 12:52 1074176 ----a-w- c:\windows\system32\DWrite.dll
2012-02-10 05:41 . 2012-03-14 12:52 218624 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-02-10 05:41 . 2012-03-14 12:52 161792 ----a-w- c:\windows\system32\d3d10_1.dll
2012-02-10 05:41 . 2012-03-14 12:52 1170944 ----a-w- c:\windows\system32\d3d10warp.dll
2012-02-10 05:41 . 2012-03-14 12:52 739840 ----a-w- c:\windows\system32\d2d1.dll
2012-03-20 18:18 . 2011-06-01 17:59 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-06 23:15 123536 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2009-12-04 1728512]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-12-05 343168]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^NETGEAR WG111v3 Setup-Assistent.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\NETGEAR WG111v3 Setup-Assistent.lnk
backup=c:\windows\pss\NETGEAR WG111v3 Setup-Assistent.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Nico^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^CurseClientStartup.ccip]
path=c:\users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccip.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-06-06 10:55 937920 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2011-09-27 06:22 59240 ----a-w- c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2012-02-28 16:38 1987976 ----a-w- c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlusService]
2011-05-26 09:29 800768 ------w- c:\program files\Yuna Software\Messenger Plus!\PlusService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-10-24 13:28 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
2011-11-23 13:17 442640 ----a-w- c:\program files\Sandboxie\SbieCtrl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 GGSAFERDriver;GGSAFER Driver;c:\program files\Garena\safedrv.sys [x]
R3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;c:\windows\system32\DRIVERS\MijXfilt.sys [2011-11-10 95304]
R3 netr73;RT73 USB-Drahtlos-LAN-Kartentreiber für Vista;c:\windows\system32\DRIVERS\netr73.sys [2009-07-13 545792]
R3 RTL8187B;NETGEAR WG111v3 Wireless-G USB Adapter Win7 Driver;c:\windows\system32\DRIVERS\wg111v3.sys [2009-11-18 376832]
R3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-01-06 583680]
R4 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-01-16 218688]
S1 ntiomin;ntiomin; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-12-06 163328]
S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-12-05 291840]
S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys [2011-06-24 39424]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-03-06 57688]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2012-02-28 1373576]
S2 TeamViewer6;TeamViewer 6;c:\program files\TeamViewer\Version6\TeamViewer_Service.exe [2011-08-30 2358656]
S3 amdiox86;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox86.sys [2010-02-18 37944]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-12-06 9067008]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-12-06 264192]
S3 athur;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athur.sys [2010-09-16 1559552]
S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2011-10-17 85520]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-11-25 1108480]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 31602299
*Deregistered* - 31602299
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
IE: Free YouTube to MP3 Converter - c:\users\Nico\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Nico\AppData\Roaming\Mozilla\Firefox\Profiles\wxoysspe.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-FL Studio 9 - c:\program files\Image-Line\FL Studio 9\uninstall.exe
AddRemove-Mass Effect 2 German_is1 - c:\program files\Night\Mass Effect 2\unins000.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2709026904-2300073761-1837081891-1000\Software\SecuROM\License information*]
"datasecu"=hex:b5,37,cf,3f,42,bc,c8,55,7f,31,b9,25,a0,e3,60,b7,fb,e6,ae,d8,4c,
49,7c,6b,16,09,bd,93,52,8d,fc,f1,e1,86,eb,7e,b6,dd,5d,9f,ca,ce,2b,04,46,62,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2012-05-03 19:30:36
ComboFix-quarantined-files.txt 2012-05-03 17:30
.
Vor Suchlauf: 15 Verzeichnis(se), 426.157.719.552 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 426.061.692.928 Bytes frei
.
- - End Of File - - 982D06452941DDB69DF84CF83E956378
|
|
03.05.2012, 18:40
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ |
|
03.05.2012, 19:24
| #19 |
| | Starker Verdacht auf Virus/Trojaner GMER hat wie beim letzten mal wieder nicht richtig funktioniert (hab dort 8 Anläufe gebraucht bis es geklappt hat), ich habs jetzt einfach weggelassen. OSAM Code:
ATTFilter eport of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:48:59 on 03.05.2012 OS: Windows 7 Home Premium Edition (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 12.0 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AODDriver4.01" (AODDriver4.01) - "Advanced Micro Devices" - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys "aswFsBlk" (aswFsBlk) - "AVAST Software" - C:\Windows\system32\drivers\aswFsBlk.sys "aswMonFlt" (aswMonFlt) - "AVAST Software" - C:\Windows\system32\drivers\aswMonFlt.sys "aswRdr" (aswRdr) - "AVAST Software" - C:\Windows\System32\Drivers\aswrdr2.sys "aswSnx" (aswSnx) - "AVAST Software" - C:\Windows\system32\drivers\aswSnx.sys "aswSP" (aswSP) - "AVAST Software" - C:\Windows\system32\drivers\aswSP.sys "atksgt" (atksgt) - ? - C:\Windows\System32\DRIVERS\atksgt.sys (File found, but it contains no detailed information) "avast! Network Shield Support" (aswTdi) - "AVAST Software" - C:\Windows\system32\drivers\aswTdi.sys "catchme" (catchme) - ? - C:\Users\Nico\AppData\Local\Temp\catchme.sys (File not found) "GGSAFER Driver" (GGSAFERDriver) - ? - C:\Program Files\Garena\safedrv.sys (File not found) "Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys "lirsgt" (lirsgt) - ? - C:\Windows\System32\DRIVERS\lirsgt.sys (File found, but it contains no detailed information) "mbr" (mbr) - ? - C:\ComboFix\mbr.sys (Hidden registry entry, rootkit activity | File not found) "ntiomin" (ntiomin) - ? - C:\Windows\system32\drivers\ntiomin.sys "ntiopnp" (ntiopnp) - ? - C:\Windows\system32\drivers\ntiopnp.sys "SbieDrv" (SbieDrv) - "SANDBOXIE L.T.D" - C:\Program Files\Sandboxie\SbieDrv.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\Program Files\Windows Live\Messenger\msgrapp.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\Program Files\Windows Live\Messenger\msgrapp.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {472083B0-C522-11CF-8763-00608CC02F24} "avast" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\ashShell.dll {872A9397-E0D6-4e28-B64D-52B8D0A7EA35} "DisplayCplExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamaxx.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - (File not found | COM-object registry key not found) {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_30" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_30.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab {C3F79A2B-B9B4-4A66-B012-3EE46475B072} "MessengerStatsClient Class" - "Microsoft Corporation" - C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll / hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10t.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab {5D6F45B3-9043-443D-A792-115447494D24} "UnoCtrl Class" - "Microsoft" - C:\Windows\Downloaded Program Files\GAME_UNO1.dll / hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} "avast! WebRep" - "AVAST Software" - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [LSA Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )----- "Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avast" - "AVAST Software" - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui "HDAudDeck" - "VIA" - C:\Program Files\VIA\VIAudioi\VDeck\VDeck.exe -r "StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AMD FUEL Service" (AMD FUEL Service) - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe "avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\AVAST Software\Avast\AvastSvc.exe "CPUCooLServer Service" (CPUCooLServer) - ? - C:\Program Files\CPUCooL\CooLSrv.exe (File not found) "LogMeIn Hamachi Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "Sandboxie Service" (SbieSvc) - "SANDBOXIE L.T.D" - C:\Program Files\Sandboxie\SbieSvc.exe "Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe "TeamViewer 6" (TeamViewer6) - "TeamViewer GmbH" - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe "Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL "WindowsLive NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-05-03 19:52:00
-----------------------------
19:52:00.366 OS Version: Windows 6.1.7600
19:52:00.366 Number of processors: 6 586 0xA00
19:52:00.367 ComputerName: NICO-PC UserName: Nico
19:52:01.263 Initialize success
19:52:01.662 AVAST engine defs: 12050300
19:52:28.754 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000068
19:52:28.760 Disk 0 Vendor: SAMSUNG_ 1AJ1 Size: 953869MB BusType: 3
19:52:28.771 Disk 0 MBR read successfully
19:52:28.779 Disk 0 MBR scan
19:52:28.787 Disk 0 Windows 7 default MBR code
19:52:28.801 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
19:52:28.812 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 953767 MB offset 206848
19:52:28.819 Disk 0 scanning sectors +1953521664
19:52:28.849 Disk 0 scanning C:\Windows\system32\drivers
19:52:37.633 Service scanning
19:52:48.402 Modules scanning
19:52:53.267 Disk 0 trace - called modules:
19:52:53.278 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
19:52:53.283 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x867cf030]
19:52:53.287 3 CLASSPNP.SYS[8c99f59e] -> nt!IofCallDriver -> [0x86561dd8]
19:52:53.291 5 ACPI.sys[8c3a43b2] -> nt!IofCallDriver -> \Device\00000068[0x865617d8]
19:52:54.109 AVAST engine scan C:\Windows
19:52:56.617 AVAST engine scan C:\Windows\system32
19:54:18.132 AVAST engine scan C:\Windows\system32\drivers
19:54:24.088 AVAST engine scan C:\Users\Nico
20:04:24.795 AVAST engine scan C:\ProgramData
20:09:36.709 Scan finished successfully
20:23:25.377 Disk 0 MBR has been saved successfully to "C:\Users\Nico\Desktop\MBR.dat"
20:23:25.382 The log file has been saved successfully to "C:\Users\Nico\Desktop\aswMBR.txt"
|
|
04.05.2012, 09:00
| #20 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.05.2012, 11:36
| #21 |
| | Starker Verdacht auf Virus/Trojaner Hab jetzt beide durchlaufen lassen und beide nichts gefunden. Darf ich fragen ob ich nun überhaupt infiziert war? MfG |
|
04.05.2012, 11:56
| #22 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Ich möchte immer die Logs sehen
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.05.2012, 17:56
| #23 |
| | Starker Verdacht auf Virus/Trojaner SOLLTE sich hier eigentlich um Fehlalarme handeln, da Aion und MTA San Andreas (was ein sehr bekannter Mod für GTA SA ist) eigentlich nur Spiele sind, und bei Vista Anti Lag gehe ich davon aus das du dieses Tool kennst. Kann mich natürlich auch irren mit den Fehlalarmen, hier das Log: Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 05/04/2012 at 12:51 PM
Application Version : 5.0.1148
Core Rules Database Version : 8554
Trace Rules Database Version: 6366
Scan type : Complete Scan
Total Scan Time : 02:12:02
Operating System Information
Windows 7 Home Premium 32-bit (Build 6.01.7600)
UAC On - Limited User
Memory items scanned : 786
Memory threats detected : 0
Registry items scanned : 34211
Registry threats detected : 0
File items scanned : 549929
File threats detected : 9
Trojan.Agent/CDesc[Generic]
C:\PROGRAM FILES\NCSOFT\AIONEU\BIN32\D3DX9_38.DLL
C:\PROGRAM FILES\NCSOFT\AIONEU PVP\BIN32\D3DX9_38.DLL
C:\USERS\NICO\DOWNLOADS\AION\BIN32\D3DX9_38.DLL
C:\USERS\NICO\DOWNLOADS\BIN32\D3DX9_38.DLL
Trojan.Agent/Gen-Keylogger
C:\PROGRAM FILES\VISTA ANTI-LAG\UNINST.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VISTA ANTI-LAG\UNINSTALL.LNK
Trojan.Agent/Gen-Orsam
C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2010-12-28.EXE
C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2011-03-29.EXE
C:\USERS\NICO\APPDATA\LOCAL\MTA SAN ANDREAS\UPCACHE\NEWS-2011-05-03.EXE
Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.04.02 Windows 7 x86 NTFS Internet Explorer 9.0.8112.16421 Nico :: NICO-PC [Administrator] 04.05.2012 10:23 mbam-log-2012-05-04 (13-03-36).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 473439 Laufzeit: 1 Stunde(n), 6 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
04.05.2012, 18:30
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Ja du hast recht das sollten Fehlalarme sein. Ich seh die Logs wirklich immer gern der Vollständigkeit halber  Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
04.05.2012, 19:26
| #25 |
| | Starker Verdacht auf Virus/Trojaner Nein , mein PC läuft sogar wieder deutlich schneller! Vielen vielen Dank für deine Hilfe, das ist jetzt nicht böse gemeint, aber hoffentlich bis niewieder, wenn du verstehst was ich meine  ! |
|
04.05.2012, 19:28
| #26 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Dann wären wir durch!  Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.05.2012, 01:04
| #27 |
| | Starker Verdacht auf Virus/Trojaner Hallo nochmal, ich glaube mein PC ist noch lange nicht clean. Wie ich darauf komme? Gerade habe ich mich in mein E-Mail Konto eingeloggt und wurde aufgefordert mein Passwort zu ändern und einen Bestätigungscode der mir als SMS zugesandt wurde zu bestätigen. Die begründung war das eine große Anzahl Spam - Emails von meinem Account verschickt wurden. Jedoch habe ich nach der Bereinigung hier mein Passwort geändert (also mein E-Mail Passwort). In den gesendeten Nachrichten sehe ich jedoch, dass diese E-Mails vor etwa 5 Stunden verschickt wurden. Ich ziehe daraus also das immernoch jemand Zugriff auf meine Passwörter hat ... Die E-Mails waren ledeglich mit einem Link bestückt (den ich an dieser Stelle natürlich nicht poste, bzw garnicht darf). Darum bitte ich dich erneut um Hilfe, Cosinus! MfG! Kleiner Edit noch, es sind in den Mails immer verschiedene Links, selbst auf Seiten die von meinem WOT als Grün markiert werden (draufklicken werd ich natürlich trotzdem nicht). Das Ganze verwirrt mich gerade sehr! Wieder infiziert haben kann ich mich jetzt eigentlich nicht, Hand aufs Herz, ich war mit meinem PC in den letzten Tagen nicht auf Schmuddelseiten oder habe irgendwas runtergeladen. Geändert von Krystalic (08.05.2012 um 01:13 Uhr) |
|
08.05.2012, 10:59
| #28 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner 100%ige Gewissheit hast du nach einer Bereinigung natürlich nicht Was ist aber, wenn das immer noch weiter so geht, auch wenn du alles komplett formatiert und neu installiert hast? Du loggst dich nur von diesem (jetzt bereinigten) Rechner aus bei deinem Mailkonto an? Oder auch von anderen Rechnern aus?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
08.05.2012, 19:39
| #29 |
| | Starker Verdacht auf Virus/Trojaner In der Vergangenheit bestimmt, aber seitdem ich das Passwort geänder hab (also seit 4 Tagen) nur auf meinem PC .. naja und auf meinem Handy. Lassen sich Androids denn schon infizieren? |
|
11.05.2012, 09:00
| #30 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Starker Verdacht auf Virus/Trojaner Hast du das Passwortproblem immer noch?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Starker Verdacht auf Virus/Trojaner |
| anleitung, antivirus, avast, deutlich, ebenfalls, gefunde, gelöscht, hoffe, langsamer, laufe, laufen, leitung, logfiles, programme, tagen, troja, trojaner, trojaner gefunden, verdacht, weiterhelfen, woche, wochen |
Linear-Darstellung
