Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Exploit Fund!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 08.09.2012, 15:46   #1
qwertz123
 
Exploit Fund! - Ausrufezeichen

Exploit Fund!



moin moin,

ich habe gestern schon gemerkt, dass mein PC langsamer arbeitet als sonst. Leider bin ich aber nicht dazu gekommen ihn gestern schon zu scannen. Jetzt habe ich es gemacht und mein Programm (Avira Free Antivirus) hat gleich 9 Funde gemacht(!!!). Davon sind jetzt (nur!!!) 2 in die Quarantäne verschoben worden. Mit HijackThis habe ich ebenfalls ein Logfile erstellt hier sind beide Logfiles:

Avira Free Antivirus
Zitat:
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 8. September 2012 15:51

Es wird nach 4175798 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : BIE

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 08.08.2012 20:27:15
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 18.07.2012 20:49:12
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 20:48:50
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 21:19:10
VBASE007.VDF : 7.11.41.251 2048 Bytes 06.09.2012 21:19:10
VBASE008.VDF : 7.11.41.252 2048 Bytes 06.09.2012 21:19:10
VBASE009.VDF : 7.11.41.253 2048 Bytes 06.09.2012 21:19:11
VBASE010.VDF : 7.11.41.254 2048 Bytes 06.09.2012 21:19:11
VBASE011.VDF : 7.11.41.255 2048 Bytes 06.09.2012 21:19:11
VBASE012.VDF : 7.11.42.0 2048 Bytes 06.09.2012 21:19:11
VBASE013.VDF : 7.11.42.1 2048 Bytes 06.09.2012 21:19:12
VBASE014.VDF : 7.11.42.2 2048 Bytes 06.09.2012 21:19:12
VBASE015.VDF : 7.11.42.3 2048 Bytes 06.09.2012 21:19:12
VBASE016.VDF : 7.11.42.4 2048 Bytes 06.09.2012 21:19:12
VBASE017.VDF : 7.11.42.5 2048 Bytes 06.09.2012 21:19:12
VBASE018.VDF : 7.11.42.6 2048 Bytes 06.09.2012 21:19:13
VBASE019.VDF : 7.11.42.7 2048 Bytes 06.09.2012 21:19:13
VBASE020.VDF : 7.11.42.8 2048 Bytes 06.09.2012 21:19:13
VBASE021.VDF : 7.11.42.9 2048 Bytes 06.09.2012 21:19:13
VBASE022.VDF : 7.11.42.10 2048 Bytes 06.09.2012 21:19:14
VBASE023.VDF : 7.11.42.11 2048 Bytes 06.09.2012 21:19:14
VBASE024.VDF : 7.11.42.12 2048 Bytes 06.09.2012 21:19:15
VBASE025.VDF : 7.11.42.13 2048 Bytes 06.09.2012 21:19:15
VBASE026.VDF : 7.11.42.14 2048 Bytes 06.09.2012 21:19:15
VBASE027.VDF : 7.11.42.15 2048 Bytes 06.09.2012 21:19:15
VBASE028.VDF : 7.11.42.16 2048 Bytes 06.09.2012 21:19:15
VBASE029.VDF : 7.11.42.17 2048 Bytes 06.09.2012 21:19:15
VBASE030.VDF : 7.11.42.18 2048 Bytes 06.09.2012 21:19:16
VBASE031.VDF : 7.11.42.52 143360 Bytes 07.09.2012 21:15:57
Engineversion : 8.2.10.158
AEVDF.DLL : 8.1.2.10 102772 Bytes 18.07.2012 20:49:11
AESCRIPT.DLL : 8.1.4.48 459130 Bytes 07.09.2012 21:16:10
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 20:49:12
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.3.0.34 811383 Bytes 07.09.2012 21:16:09
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 20:47:51
AEHEUR.DLL : 8.1.4.96 5267830 Bytes 07.09.2012 21:16:07
AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 20:49:00
AEGEN.DLL : 8.1.5.36 434549 Bytes 24.08.2012 21:36:38
AEEXP.DLL : 8.1.0.86 90484 Bytes 07.09.2012 21:16:10
AEEMU.DLL : 8.1.3.2 393587 Bytes 18.07.2012 20:48:58
AECORE.DLL : 8.1.27.4 201078 Bytes 07.08.2012 20:27:11
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 20:27:15
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 20:27:08
RCTEXT.DLL : 12.3.0.31 100088 Bytes 08.08.2012 20:27:08

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Samstag, 8. September 2012 15:51

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NVMixerTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1188' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\User\Desktop\Battlefield 2\CO.0003.part1.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\User\Desktop\Battlefield 2\CO.0003.part2.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\User\Desktop\Battlefield 2\CO.0003.part3.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\User\Desktop\Battlefield 2\CO.0003.part4.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\User\Desktop\Battlefield 2\CO.0003.part5.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\50d1dd7-7519a815
[0] Archivtyp: ZIP
--> l_r1a/l_r1c.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DT.1
--> l_r1a/l_r1b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.DS
--> l_r1a/l_r1a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karam.AH
--> l_r1a/l_r1d.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.DV
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\34352fbe-391e1fb7
[0] Archivtyp: ZIP
--> Ini.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.X.3
--> Libina.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.GA
--> Reha.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CP
--> Third.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.P.2.B
C:\Programme\EA Games\Battlefield Play4Free\tempPatch\patched\mods\main\Objects\Weapons_client.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Programme\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\34352fbe-391e1fb7
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Kara.X.3
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5453f2f6.qua' verschoben!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\50d1dd7-7519a815
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.DV
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c15dd55.qua' verschoben!


Ende des Suchlaufs: Samstag, 8. September 2012 16:28
Benötigte Zeit: 35:14 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2785 Verzeichnisse wurden überprüft
272065 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
272056 Dateien ohne Befall
2934 Archive wurden durchsucht
7 Warnungen
2 Hinweise

HijackThis
Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:32:52, on 08.09.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINXP\system32\dllhost.exe
C:\WINXP\System32\vssvc.exe
C:\WINXP\system32\dllhost.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\User\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.systemrequirementslab.com/cyri/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} (SysInfo Class) - hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.5.1.0.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update-Dienst (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 5433 bytes

Was soll ich nun tun?
Reicht es aus, "einfach" die Viren zu löschen?

Alt 08.09.2012, 20:11   #2
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.


Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

2. Schritt
Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 08.09.2012, 22:37   #3
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Ich habe jetzt mit Malewarebytes und OTL Logfiles erstellt.
Hier sind sie:

Malewarebytes:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.08.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: BIE [Administrator]

Schutz: Aktiviert

08.09.2012 21:46:06
mbam-log-2012-09-08 (22-53-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 206445
Laufzeit: 1 Stunde(n), 5 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL|CheckedValue (PUM.Hijack.System.Hidden) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 08.09.2012 22:54:54 - Run 1
OTL by OldTimer - Version 3.2.55.0     Folder = C:\Dokumente und Einstellungen\User\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,49 Mb Total Physical Memory | 86,38 Mb Available Physical Memory | 16,89% Memory free
1,22 Gb Paging File | 0,54 Gb Available in Paging File | 44,03% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 38,33 Gb Total Space | 12,55 Gb Free Space | 32,74% Space Free | Partition Type: NTFS
Drive E: | 673,61 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: BIE | User Name: User | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\User\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe (NVIDIA Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\WINXP\system32\nvapi.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINXP\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (MBAMSwissArmy) -- C:\WINXP\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (dtsoftbus01) -- C:\WINXP\system32\drivers\dtsoftbus01.sys (DT Soft Ltd)
DRV - (MBAMProtector) -- C:\WINXP\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINXP\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (EverestDriver) -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt ()
DRV - (RT2500) -- C:\WINXP\system32\drivers\RT2500.sys (Ralink Technology Inc.)
DRV - (nvatabus) -- C:\WINXP\system32\drivers\nvatabus.sys (NVIDIA Corporation)
DRV - (nvnforce) -- C:\WINXP\system32\drivers\nvapu.sys (NVIDIA Corporation)
DRV - (nvax) -- C:\WINXP\system32\drivers\nvax.sys (NVIDIA Corporation)
DRV - (nv_agp) -- C:\WINXP\system32\drivers\nv_agp.SYS (NVIDIA Corporation)
DRV - (NVENET) -- C:\WINXP\system32\drivers\NVENET.sys (NVIDIA Corporation)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.systemrequirementslab.com/cyri/
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D2 80 91 AB 52 67 CD 01  [binary data]
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "google.de"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\WINXP\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.2: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.09.07 12:44:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.09.07 12:43:40 | 000,000,000 | ---D | M]
 
[2012.07.18 20:26:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Extensions
[2012.09.07 13:24:52 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ilfi83pk.default\extensions
[2012.07.23 17:29:58 | 000,000,000 | ---D | M] (Battlefield Play4Free) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ilfi83pk.default\extensions\battlefieldplay4free@ea.com
[2012.07.30 16:19:58 | 000,000,000 | ---D | M] (ProxTube - Unblock YouTube) -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ilfi83pk.default\extensions\ich@maltegoetz.de
[2012.09.06 23:22:49 | 000,000,000 | ---D | M] ("TimeLineRemove.Com") -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\ilfi83pk.default\extensions\jid0-YxzrUsJ0WOiOaU89TngAzLcIs18@jetpack
[2012.09.07 12:43:31 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.08.24 23:54:07 | 000,270,021 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\USER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\ILFI83PK.DEFAULT\EXTENSIONS\{E4A8A97B-F2ED-450B-B12D-EE082BA24781}.XPI
[2012.07.24 14:45:26 | 000,011,510 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\USER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\ILFI83PK.DEFAULT\EXTENSIONS\YOUTUBE2MP3@MONDAYX.DE.XPI
[2012.09.07 12:44:05 | 000,266,720 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.07.14 02:45:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.08.31 00:34:02 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.14 02:45:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.14 02:45:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.14 02:45:07 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 12:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINXP\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINXP\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NVMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINXP\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2000478354-1972579041-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.5.1.0.cab (SysInfo Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{607732AC-C2F5-41C9-91F2-EB39D46A030A}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.07.18 18:34:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.11.04 08:24:50 | 000,000,000 | R--D | M] - E:\AutoRun -- [ CDFS ]
O32 - AutoRun File - [2005.11.04 07:52:23 | 000,729,088 | R--- | M] (Electronic Arts Inc.) - E:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2005.10.14 10:02:16 | 000,585,728 | R--- | M] (Electronic Arts Inc.) - E:\AutoRunGUI.dll -- [ CDFS ]
O32 - AutoRun File - [2005.11.04 08:22:30 | 000,000,160 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{26caaf70-d103-11e1-b21a-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{26caaf70-d103-11e1-b21a-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{26caaf70-d103-11e1-b21a-806d6172696f}\Shell\AutoRun\command - "" = D:\setup.exe
O33 - MountPoints2\{9124de01-d0f7-11e1-b27d-fecc01acfaaa}\Shell - "" = AutoRun
O33 - MountPoints2\{9124de01-d0f7-11e1-b27d-fecc01acfaaa}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9124de01-d0f7-11e1-b27d-fecc01acfaaa}\Shell\AutoRun\command - "" = C:\WINXP\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{f055db3f-eefa-11e1-b884-00112f82368c}\Shell - "" = AutoRun
O33 - MountPoints2\{f055db3f-eefa-11e1-b884-00112f82368c}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f055db3f-eefa-11e1-b884-00112f82368c}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2005.11.04 07:52:23 | 000,729,088 | R--- | M] (Electronic Arts Inc.)
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.08 21:26:31 | 000,597,504 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2012.09.08 21:20:59 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2012.09.08 21:19:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes
[2012.09.08 21:18:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.09.08 21:18:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.09.08 21:18:36 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2012.09.08 21:18:36 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.09.08 21:14:48 | 010,652,120 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.62.0.1300.exe
[2012.09.08 14:58:54 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\User\Desktop\HiJackThis204.exe
[2012.09.07 13:39:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\User\Recent
[2012.09.07 13:33:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2012.09.07 13:33:05 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.09.07 12:43:27 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2012.09.03 16:06:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.09.03 16:05:56 | 000,143,872 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javacpl.cpl
[2012.09.03 16:05:54 | 000,246,760 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javaws.exe
[2012.09.03 16:05:24 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\javaw.exe
[2012.09.03 16:05:24 | 000,093,672 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\WindowsAccessBridge.dll
[2012.09.03 16:05:23 | 000,174,056 | ---- | C] (Oracle Corporation) -- C:\WINXP\System32\java.exe
[2012.09.03 16:04:17 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2012.08.28 21:08:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Eigene Dateien\NFS Most Wanted
[2012.08.26 18:50:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\McAfee
[2012.08.26 00:53:16 | 000,000,000 | ---D | C] -- C:\Program Files
[2012.08.26 00:52:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DAEMON Tools Lite
[2012.08.26 00:51:48 | 000,242,240 | ---- | C] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys
[2012.08.26 00:51:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DAEMON Tools Lite
[2012.08.26 00:51:40 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite
[2012.08.26 00:50:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2012.08.25 23:22:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\Need For Speed Most Wanted Black Edition
[2012.08.23 15:50:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
[2012.08.22 20:16:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Google
[2012.08.22 19:52:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2012.08.22 19:50:53 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2012.08.22 19:50:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Google
[2012.08.21 14:50:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\Musik
[2012.08.21 14:49:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\Spiele
[2012.08.18 12:41:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Anno 1701
[2012.08.11 17:15:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Eigene Dateien\Battlefield 2
[2012.08.11 17:08:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EA GAMES
[2012.08.11 11:53:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.08 23:13:02 | 000,000,880 | ---- | M] () -- C:\WINXP\tasks\Adobe Flash Player Updater.job
[2012.09.08 23:01:20 | 000,001,086 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2012.09.08 21:26:32 | 000,597,504 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe
[2012.09.08 21:20:59 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2012.09.08 21:18:42 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.08 21:15:01 | 010,652,120 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\User\Desktop\mbam-setup-1.62.0.1300.exe
[2012.09.08 20:01:05 | 000,001,082 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2012.09.08 14:58:57 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\User\Desktop\HiJackThis204.exe
[2012.09.08 12:26:38 | 000,316,594 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2012.09.08 12:26:38 | 000,311,604 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2012.09.08 12:26:38 | 000,048,156 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2012.09.08 12:26:38 | 000,039,992 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2012.09.08 12:22:27 | 000,088,601 | ---- | M] () -- C:\WINXP\System32\nvapps.xml
[2012.09.08 12:22:19 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2012.09.08 12:22:18 | 536,403,968 | -HS- | M] () -- C:\hiberfil.sys
[2012.09.05 15:51:19 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2012.09.04 16:49:35 | 000,013,025 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Summary_Grown up Not so fast.odt
[2012.09.03 16:04:34 | 000,093,672 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\WindowsAccessBridge.dll
[2012.09.03 16:04:26 | 000,821,736 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\npDeployJava1.dll
[2012.09.03 16:04:26 | 000,746,984 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\deployJava1.dll
[2012.09.03 16:04:26 | 000,246,760 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javaws.exe
[2012.09.03 16:04:26 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javaw.exe
[2012.09.03 16:04:26 | 000,174,056 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\java.exe
[2012.09.03 16:04:26 | 000,143,872 | ---- | M] (Oracle Corporation) -- C:\WINXP\System32\javacpl.cpl
[2012.09.01 16:55:52 | 012,777,356 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\nfsmwpatch1.3.exe
[2012.08.28 21:00:17 | 000,012,385 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Summary_One parent families.odt
[2012.08.27 17:34:36 | 000,011,110 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Zentral und Geschäftsbanken.odt
[2012.08.26 21:35:38 | 000,109,756 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Auckland_City_by_Night.jpg
[2012.08.26 20:55:16 | 000,034,891 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\text.2.JPG
[2012.08.26 20:37:46 | 000,121,760 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\text.jpg
[2012.08.26 01:08:33 | 000,001,786 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed™ Most Wanted.lnk
[2012.08.26 00:51:49 | 000,242,240 | ---- | M] (DT Soft Ltd) -- C:\WINXP\System32\drivers\dtsoftbus01.sys
[2012.08.23 15:50:28 | 000,696,520 | ---- | M] (Adobe Systems Incorporated) -- C:\WINXP\System32\FlashPlayerApp.exe
[2012.08.23 15:50:28 | 000,073,416 | ---- | M] (Adobe Systems Incorporated) -- C:\WINXP\System32\FlashPlayerCPLApp.cpl
[2012.08.21 14:46:31 | 000,008,020 | ---- | M] () -- C:\WINXP\System32\d3d9caps.dat
[2012.08.18 20:09:04 | 001,521,366 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Stundenplan.bmp
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.09.08 21:18:42 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.04 16:49:34 | 000,013,025 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Summary_Grown up Not so fast.odt
[2012.09.01 16:55:20 | 012,777,356 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\nfsmwpatch1.3.exe
[2012.08.28 21:00:17 | 000,012,385 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Summary_One parent families.odt
[2012.08.27 17:34:36 | 000,011,110 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Zentral und Geschäftsbanken.odt
[2012.08.26 21:35:37 | 000,109,756 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Auckland_City_by_Night.jpg
[2012.08.26 20:55:16 | 000,034,891 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\text.2.JPG
[2012.08.26 20:37:44 | 000,121,760 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\text.jpg
[2012.08.26 01:08:33 | 000,001,786 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Need for Speed™ Most Wanted.lnk
[2012.08.22 19:51:02 | 000,001,086 | ---- | C] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2012.08.22 19:51:01 | 000,001,082 | ---- | C] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2012.08.21 22:03:40 | 536,403,968 | -HS- | C] () -- C:\hiberfil.sys
[2012.08.18 20:09:03 | 001,521,366 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Stundenplan.bmp
[2012.08.07 12:38:05 | 000,008,020 | ---- | C] () -- C:\WINXP\System32\d3d9caps.dat
[2012.08.05 16:15:07 | 000,311,296 | ---- | C] () -- C:\WINXP\System32\AegisI5.exe
[2012.08.05 16:15:07 | 000,086,016 | ---- | C] () -- C:\WINXP\System32\installrt2500qa.dll
[2012.08.05 16:15:07 | 000,036,864 | ---- | C] () -- C:\WINXP\System32\WRLSetup.exe
[2012.08.03 20:54:39 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.27 15:16:36 | 000,354,816 | ---- | C] () -- C:\WINXP\System32\psisdecd.dll
[2012.07.18 19:26:48 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2012.07.18 19:25:38 | 000,117,360 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2012.07.18 18:38:03 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2012.07.18 18:31:34 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
 
========== LOP Check ==========
 
[2012.08.26 00:52:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2012.09.07 13:39:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DAEMON Tools Lite
[2012.08.08 17:07:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\OpenOffice.org
[2012.08.05 15:53:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Oracle
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---

[/CODE]



Warum wurde mit Malewarebytes nichts gefunden???
Liegt es etwa daran, dass Avira Free Antivirus die 2 Viren in die Quarantäne verschoben hat???
__________________

Alt 10.09.2012, 02:09   #4
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
Mfg, t'john
Das TB unterstützen

Alt 10.09.2012, 14:49   #5
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Ich habe mir nun AdwCleaner heruntergeladen und ein Logfile erstellt.
Hier ist er:

Code:
ATTFilter
# AdwCleaner v2.001 - Datei am 09/10/2012 um 15:48:07 erstellt
# Aktualisiert am 09/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : User - BIE
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

*************************

AdwCleaner[R1].txt - [577 octets] - [10/09/2012 15:48:07]

########## EOF - C:\AdwCleaner[R1].txt - [636 octets] ##########
         


Alt 11.09.2012, 00:12   #6
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Sehr gut!


  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.




danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
--> Exploit Fund!

Alt 11.09.2012, 13:57   #7
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Ich habe nun AdwCleaner.exe aufgerufen und auf gelöscht gedrückt. Nach dem Neustart habe ich die Software Emisoft-Anti-Maleware heruntergeladen und ein Scan durchgeführt.
Hier sind die beiden Logfiles:

AdwCleaner:
Code:
ATTFilter
# AdwCleaner v2.001 - Datei am 09/11/2012 um 12:46:09 erstellt
# Aktualisiert am 09/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : User - BIE
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\User\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[R1].txt - [704 octets] - [10/09/2012 15:48:07]
AdwCleaner[S1].txt - [895 octets] - [11/09/2012 12:46:09]

########## EOF - C:\AdwCleaner[S1].txt - [954 octets] ##########
         

Emisoft-Anti-Maleware
Code:
ATTFilter
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 11.09.2012 13:11:18

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:	11.09.2012 13:15:58

Key: hkey_local_machine\software\trymedia systems\activemark software 	gefunden: Trace.Registry.trymedia!E1
Key: hkey_local_machine\software\trymedia systems 	gefunden: Trace.Registry.trymedia!E1

Gescannt	509074
Gefunden	2

Scan Ende:	11.09.2012 14:51:04
Scan Zeit:	1:35:06

Key: hkey_local_machine\software\trymedia systems\activemark software	Quarantäne Trace.Registry.trymedia!E1
Key: hkey_local_machine\software\trymedia systems	Quarantäne Trace.Registry.trymedia!E1

Quarantäne	2
         

Alt 12.09.2012, 11:44   #8
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Sehr gut!


Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset
__________________
Mfg, t'john
Das TB unterstützen

Alt 12.09.2012, 17:09   #9
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Ich hoffe wir finden so schnell wie möglich eine Lösung
Die Leistung meines PC leidet sehr darunte

hier ist der Logfile von ESET.

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=503a50795e7b064eab315c42d9e02a7e
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-12 03:15:22
# local_time=2012-09-12 05:15:22 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777215 100 0 4815417 4815417 0 0
# compatibility_mode=8192 67108863 100 0 331 331 0 0
# scanned=30953
# found=0
# cleaned=0
# scan_time=3042
         

Alt 14.09.2012, 16:49   #10
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Zitat:
Die Leistung meines PC leidet sehr darunte
Was genau ist damit gemeint?

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 7 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 14.09.2012, 20:15   #11
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Code:
ATTFilter
Was genau ist damit gemeint?
         
Naja Internet und Programme hatten sich langsamer geöffnet, bevor mein PC befallen war. Aber jetzt scheint es wieder seine alte "Leistung" wieder zu haben.


Habe nun alle Punkte, bis auf
Code:
ATTFilter
 Haken setzen bei: Anwendungen und Applets und Verfolgungs- und Protokolldateien => OK
         
durchgeführt. Hier der PluginCheck:

Code:
ATTFilter

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 15.0.1 ist aktuell

    Flash (11,4,402,265) ist aktuell.

    Java (1,7,0,7) ist aktuell.

    Adobe Reader 10,1,4,38 ist aktuell.
         

Dann habe ich Java deaktiviert, so wie es in deiner weiteren Beschreibung steht.
Hier der "neue" PluginCheck:

Code:
ATTFilter
PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

    Firefox 15.0.1 ist aktuell

    Flash (11,4,402,265) ist aktuell.

    Java ist Installiert aber nicht aktiviert.

    Adobe Reader 10,1,4,38 ist aktuell.
         

Alt 16.09.2012, 18:06   #12
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

  • Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
  • temporäre Dateien löschen.




Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 17.09.2012, 16:42   #13
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Ich habe nun AdwCleaner deinstalliert, eine Bereinigung mit OTL gestartet, die Sicherheitszonen zurückgesetzt und anschließend die Systemwiederherstellung geleert.

Mit CCleaner habe ich versucht alle Fehler in der Registy zu beheben. Dennoch findet das Programm immerwieder den selben Fehler
Code:
ATTFilter
Fehler: Ungenutzte Datei-Endungen   Daten {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Registry Schlüssel HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         
Desweiteren wird mir gesagt, dass angeblich mein Java aktiv sei obwohl es gar nicht stimmt. Als ich mir ein Stream über Streamcloud gucken wollte, stand oben, dass mein Java noch aktiv sei. Daraufhin habe ich nach geguckt und habe festgestellt, dass dem nicht so ist.
Warum wird mir da gesagt, dass Java aktiv sei obwohl es doch deaktiviert ist???

Alt 18.09.2012, 02:32   #14
t'john
/// Helfer-Team
 
Exploit Fund! - Standard

Exploit Fund!



Der schluessel gehoert zu avira.

Zitat:
Warum wird mir da gesagt, dass Java aktiv sei obwohl es doch deaktiviert ist???
screenshot?
__________________
Mfg, t'john
Das TB unterstützen

Alt 18.09.2012, 12:51   #15
qwertz123
 
Exploit Fund! - Standard

Exploit Fund!



Im Anhang sind die Screenshots von Streamcloud und von den Plugins, wo angezeigt wird, dass JAVA deaktiviert ist.


Liegt es eventuell an dem Plugin "Java Deployment Toolkit 7.0.70.11 10.7.2.11" ???
Miniaturansicht angehängter Grafiken
Exploit Fund!-java-streamcloud.jpg   Exploit Fund!-java-deaktiviert.jpg  

Antwort

Themen zu Exploit Fund!
antivirus, avg, bho, desktop, einstellungen, exploit, exploit exp/cve-2012-1723.dv, flash player, google, hijack, internet, internet explorer, java/dldr.kara.x.3, logfile, löschen?, mozilla, plug-in, programm, prozesse, pum.hijack.system.hidden, registry, scan, services.exe, software, svchost.exe, verweise, warnung, windows



Ähnliche Themen: Exploit Fund!


  1. Windows 8.1: MBAM meldet Fund "Heuristics.Reserved.Word.Exploit"
    Log-Analyse und Auswertung - 02.07.2015 (11)
  2. Fund: Loader.jar, Fund: EXP/Java.Ternewb.Gen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (17)
  3. Win 7 Resultate nach Rootscan Spybot, Microsoft safety scan, AVG Meldung Fund 1) MalSign.generic.712 Fund 2) MalSign.OpenCandy. 7AF
    Log-Analyse und Auswertung - 23.01.2015 (21)
  4. Win XP SP3 Fund: Exploit EXP/CVE-2013-1493.TU und TR/Trash.Gen
    Log-Analyse und Auswertung - 18.10.2013 (25)
  5. Kaspersky Internet Security meldet Fund: HEUR:Exploit.Java.CVE-2012-1723.gen
    Log-Analyse und Auswertung - 15.10.2013 (13)
  6. Exploit Shield zu Malwarebytes Anti-Exploit
    Antiviren-, Firewall- und andere Schutzprogramme - 09.07.2013 (4)
  7. AVIRA-Fund: ADWARE/YONTOO.GEN2 und ESET-Fund: Win32/StartPage.OPH trojan
    Plagegeister aller Art und deren Bekämpfung - 04.04.2013 (12)
  8. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  9. HEUR:Exploit.Java.CVE-2012-4681.gen" sowie mehrfach Exploit.Java.CVE-2012-0507.ou mit kaspersky gefunden in C:Dokumente und Einstellungen ge
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (11)
  10. Exploit-CVE2012-1723.f und Exploit-PDF!Blacole.o gefunden
    Log-Analyse und Auswertung - 02.10.2012 (11)
  11. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  12. Antivir Fund - Exploit EXP/CVE-2012-0507.AV
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (11)
  13. AVG-Meldungen: "Exploit Blackhole Exploit KIT" und "Infected Virus found JD/Redir" - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 23.12.2011 (11)
  14. dnschanger, fakealert, kein Fund mit G data, Fund mit antimalwarebytes
    Log-Analyse und Auswertung - 07.06.2010 (11)
  15. 'EXP/Pdfka.bmq' [exploit] Fund
    Plagegeister aller Art und deren Bekämpfung - 19.02.2010 (10)
  16. infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (15)
  17. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)

Zum Thema Exploit Fund! - moin moin, ich habe gestern schon gemerkt, dass mein PC langsamer arbeitet als sonst. Leider bin ich aber nicht dazu gekommen ihn gestern schon zu scannen. Jetzt habe ich es - Exploit Fund!...
Archiv
Du betrachtest: Exploit Fund! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.