| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ukash virus - bundestrojaner - schweiz - windows xpWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.11.2012, 12:33
| #1 |
| |  ukash virus - bundestrojaner - schweiz - windows xp hallo - habe diesen ukash trojaner eingefangen - habe bereits dieses forum durchsucht - habe otlpe laufen lassen - anbei die beiden logfiles - benötige wohl nun ein fix script - bitte um hilfe - danke Geändert von nusba (24.11.2012 um 13:00 Uhr) |
|
24.11.2012, 13:12
| #2 | ||
| /// TB-Ausbilder  | ukash virus - bundestrojaner - schweiz - windows xp Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich. Fix mit OTLpe Fragen:
__________________ |
|
24.11.2012, 16:35
| #3 |
| | ukash virus - bundestrojaner - schweiz - windows xp habe folgendes gemacht:
__________________- script in otlpe ausgeführt - log-datei wegkopiert - reboot (wieder von cd) - cd entfernt - reboot vom disk - windows kommt wieder normal rauf - nix sonst gemacht - wie weiter? im log steht nicht sehr viel ... ========== OTL ========== Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msconfig.dat deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\msconfig.dat moved successfully. OTLPE by OldTimer - Version 3.1.48.0 log created on 11242012_161252 |
|
24.11.2012, 16:41
| #4 |
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Gut, dann jetzt ein richtiges OTL Log für die Reste: Customscan mit OTL
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.11.2012, 17:40
| #5 |
| | ukash virus - bundestrojaner - schweiz - windows xp folgendes gemacht - otl runtergeladen, hacken gesetzt, commandos reinkopiert und run scan gedrückt - ausgeführt auf original windows - logfiles wurde erzeugt auf desktop otl ist zu lang, sogar als anhang, mache 2 files drauss ja, minmal output war gecheckt |
|
25.11.2012, 12:26
| #6 | ||
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Gut soweit, dann bitte: Schritt 1: AdwCleaner: Werbeprogramme suchen und löschen Schritt 2: Scan mit Combofix
__________________ --> ukash virus - bundestrojaner - schweiz - windows xp |
|
25.11.2012, 17:20
| #7 |
| | ukash virus - bundestrojaner - schweiz - windows xp ok, beide schritte erledigt, hatte mühe meinen virenscanner zu stoppen bzw. gestoppt zu halten. [CODE] Combofix Logfile: Code:
ATTFilter ComboFix 12-11-25.01 - Administrator 25.11.2012 17:02:36.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2013.1369 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Webroot SecureAnywhere *Enabled/Updated* {D486329C-1488-4CEB-9CC8-D662B732D904}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\avdrn.dat
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\msconfig.ini
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\assembly\tmp
c:\windows\system32\driVERs\hgiiv.sys
c:\windows\system32\driVERs\mxwgjx.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\Packet.dll
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\system32\wpcap.dll
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Service_NPF
-------\Legacy_hgiiv
-------\Legacy_mxwgjx
-------\Service_hgiiv
-------\Service_mxwgjx
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-10-25 bis 2012-11-25 ))))))))))))))))))))))))))))))
.
.
2012-11-25 06:43 . 2012-11-25 06:43 150712 ----a-w- c:\windows\system32\WRusr.dll
2012-11-25 06:43 . 2012-11-25 06:43 112656 ----a-w- c:\windows\system32\drivers\WRkrn.sys
2012-11-25 06:42 . 2012-11-25 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WRData
2012-11-24 16:04 . 2012-11-24 16:04 -------- d-----w- C:\_OTL
2012-11-20 18:13 . 2012-11-22 07:21 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\HpUpdate
2012-11-20 18:13 . 2012-11-20 18:13 -------- d-----w- c:\windows\Hewlett-Packard
2012-11-06 19:13 . 2012-11-06 19:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\restore
2012-11-06 19:04 . 2012-11-06 19:04 -------- d-----w- c:\programme\Migros
2012-11-06 16:55 . 2012-11-06 16:55 -------- d-----w- c:\programme\Pixum
2012-10-29 20:34 . 2012-10-29 20:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2012-10-29 20:32 . 2012-10-29 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2012-10-29 20:32 . 2012-10-29 20:32 -------- d-----w- c:\programme\Hewlett-Packard
2012-10-29 20:29 . 2012-10-29 20:36 -------- d-----w- c:\programme\HP
2012-10-29 20:18 . 2007-08-01 20:47 188416 ----a-r- c:\windows\system32\hppcew11.dll
2012-10-29 20:18 . 2007-07-16 21:29 26136 ----a-r- c:\windows\system32\drivers\hpfxgen.sys
2012-10-29 20:18 . 2007-07-16 21:29 17432 ----a-r- c:\windows\system32\drivers\hpfxbulk.sys
2012-10-29 20:18 . 2007-12-07 23:26 757760 ----a-r- c:\windows\system32\hpptsp04.dll
2012-10-29 20:18 . 2007-10-24 19:18 729088 ----a-r- c:\windows\system32\hpxp1312.dll
2012-10-29 20:18 . 2007-05-01 19:20 450560 ----a-r- c:\windows\system32\hppasc11.dll
2012-10-29 20:07 . 2012-10-29 20:07 608 --sha-w- c:\windows\system32\winzvprt5.sys
2012-10-29 19:48 . 2012-10-29 19:48 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2012-10-29 19:47 . 2012-10-29 19:47 -------- d-----w- c:\programme\QuickTime
2012-10-29 19:45 . 2012-10-29 19:45 -------- d-----w- c:\programme\Apple Software Update
2012-10-29 19:45 . 2012-10-29 19:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-30 07:25 . 2012-04-18 20:39 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-30 07:25 . 2011-05-15 05:14 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-22 19:56 . 2008-04-14 05:23 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-10-02 18:04 . 2008-04-14 05:52 58368 ----a-w- c:\windows\system32\synceng.dll
2012-09-19 14:22 . 2009-11-19 13:32 79368 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mdbu.bin
2012-08-28 15:05 . 2008-04-14 05:52 916992 ----a-w- c:\windows\system32\wininet.dll
2012-08-28 15:05 . 2008-04-14 05:53 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-08-28 15:05 . 2008-04-14 05:52 43520 ------w- c:\windows\system32\licmgr10.dll
2012-08-28 12:07 . 2008-04-14 05:25 385024 ------w- c:\windows\system32\html.iec
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
"NokiaSuite.exe"="c:\programme\Nokia\Nokia Suite\NokiaSuite.exe" [2011-11-01 1053056]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2012-08-28 247768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-11-06 570664]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-09-16 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-09-16 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-09-16 150040]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-09-07 221256]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2012-04-18 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"ToolBoxFX"="c:\programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2008-08-01 53248]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"HPUsageTracking"="c:\programme\HP\HP UT\bin\hppusg.exe" [2008-08-04 36864]
"WRSVC"="c:\programme\Webroot\WRSA.exe" [2012-11-25 729544]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalMachineRun"= 0 (0x0)
"DisableLocalMachineRunOnce"= 0 (0x0)
"DisableCurrentUserRun"= 0 (0x0)
"DisableCurrentUserRunOnce"= 0 (0x0)
"NoFile"= 0 (0x0)
"HideClock"= 0 (0x0)
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\bookfactory.ch\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\cablecom\\installer\\cablecom_installer.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
R0 WRkrn;WRkrn;c:\windows\system32\drivers\WRkrn.sys [25.11.2012 07:43 112656]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [28.08.2012 06:41 92632]
R3 busbcrw;USB Card Reader Writer driver;c:\windows\system32\drivers\busbcrw.sys [03.03.2009 19:06 18944]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [18.02.2009 17:57 110080]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [03.07.2012 12:19 160944]
S2 WRSVC;WRSVC;c:\programme\Webroot\WRSA.exe [25.11.2012 07:43 729544]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [19.09.2009 18:00 1527900]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-25 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-18 07:25]
.
2012-11-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 14:13]
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 14:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} - hxxp://www.o2c.de/download/O2CPlayer.CAB
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://webcam.steinamrhein.ch/activex/AMC.cab
.
.
------- Dateityp-Verknüpfung -------
.
JSEFile="%SystemRoot%\System32\WScript.exe" "%1" %*
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-AdobeBridge - (no file)
HKLM-Run-NokiaMusic FastStart - c:\programme\Nokia\Ovi Player\NokiaOviPlayer.exe
HKLM-Run-HPPQVideo - c:\programme\HP\ScheduledLaunch\HP Color LaserJet CM1312 MFP Series\bin\hppschlnch.exe -r SOFTWARE\Hewlett-Packard\ScheduledLaunch\CLJ_CM1312_MFP_Series -f PQOptimizerVideo.xml
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-9CD348AE9C64C4B939B624E8E24F3903EFDFC82B - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe
AddRemove-C5A76DC11BABDA0A881E7BE8DDEB641365A77FFD - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe
AddRemove-cablecom installer - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{51FF211C-C5CA-4891-947B-39860CCE391A}\UPC Installer.exe
AddRemove-ifolor-OrderClient21 - c:\dokumente und einstellungen\Administrator\Eigene Dateien\Designer21\Uninstall.exe
AddRemove-Pixum Fotobuch - c:\dokumente und einstellungen\Administrator\Eigene Dateien\Sonja\Pixum Fotobuch\uninstall.exe
AddRemove-UPC Fiber Power Optimizer - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{64300630-5B75-49F3-904F-EA6A0C434430}\upc optimizer swiss.exe
AddRemove-{631141AD-79AA-447F-B403-21C704D39B8C} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{64300630-5B75-49F3-904F-EA6A0C434430}\upc optimizer swiss.exe
AddRemove-{F61310F9-DE52-4EF9-B514-F41DE0BC0418} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{51FF211C-C5CA-4891-947B-39860CCE391A}\UPC Installer.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-25 17:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3332937626-2797723314-1654991563-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,08,79,9e,37,b0,bf,82,4c,8b,fd,3f,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,31,b3,7f,c5,54,ac,fe,45,91,79,bf,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(5440)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
c:\programme\Canon\CAL\CALMAIN.exe
c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-11-25 17:13:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-11-25 16:13
.
Vor Suchlauf: 31 Verzeichnis(se), 187'050'438'656 Bytes frei
Nach Suchlauf: 34 Verzeichnis(se), 187'401'408'512 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - DB52F47C25F05BE7F6C15FCCCD7C485B
|
|
25.11.2012, 17:25
| #8 |
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Bitte Webroot SecureAnywhere deinstallieren und Combofix nochmals laufen lassen.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
26.11.2012, 23:19
| #9 |
| | ukash virus - bundestrojaner - schweiz - windows xp ok, gemacht [CODE] Combofix Logfile: Code:
ATTFilter ComboFix 12-11-25.01 - Administrator 26.11.2012 22:37:04.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.2013.1320 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-10-26 bis 2012-11-26 ))))))))))))))))))))))))))))))
.
.
2012-11-25 06:42 . 2012-11-26 21:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WRData
2012-11-24 16:04 . 2012-11-24 16:04 -------- d-----w- C:\_OTL
2012-11-20 18:13 . 2012-11-22 07:21 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\HpUpdate
2012-11-20 18:13 . 2012-11-20 18:13 -------- d-----w- c:\windows\Hewlett-Packard
2012-11-06 19:13 . 2012-11-06 19:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\restore
2012-11-06 19:04 . 2012-11-06 19:04 -------- d-----w- c:\programme\Migros
2012-11-06 16:55 . 2012-11-06 16:55 -------- d-----w- c:\programme\Pixum
2012-10-29 20:34 . 2012-10-29 20:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2012-10-29 20:32 . 2012-10-29 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\HP
2012-10-29 20:32 . 2012-10-29 20:32 -------- d-----w- c:\programme\Hewlett-Packard
2012-10-29 20:29 . 2012-10-29 20:36 -------- d-----w- c:\programme\HP
2012-10-29 20:18 . 2007-08-01 20:47 188416 ----a-r- c:\windows\system32\hppcew11.dll
2012-10-29 20:18 . 2007-07-16 21:29 26136 ----a-r- c:\windows\system32\drivers\hpfxgen.sys
2012-10-29 20:18 . 2007-07-16 21:29 17432 ----a-r- c:\windows\system32\drivers\hpfxbulk.sys
2012-10-29 20:18 . 2007-12-07 23:26 757760 ----a-r- c:\windows\system32\hpptsp04.dll
2012-10-29 20:18 . 2007-10-24 19:18 729088 ----a-r- c:\windows\system32\hpxp1312.dll
2012-10-29 20:18 . 2007-05-01 19:20 450560 ----a-r- c:\windows\system32\hppasc11.dll
2012-10-29 20:07 . 2012-10-29 20:07 608 --sha-w- c:\windows\system32\winzvprt5.sys
2012-10-29 19:48 . 2012-10-29 19:48 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2012-10-29 19:47 . 2012-10-29 19:47 -------- d-----w- c:\programme\QuickTime
2012-10-29 19:45 . 2012-10-29 19:45 -------- d-----w- c:\programme\Apple Software Update
2012-10-29 19:45 . 2012-10-29 19:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-30 07:25 . 2012-04-18 20:39 696760 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-10-30 07:25 . 2011-05-15 05:14 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-22 19:56 . 2008-04-14 05:23 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-10-02 18:04 . 2008-04-14 05:52 58368 ----a-w- c:\windows\system32\synceng.dll
2012-09-19 14:22 . 2009-11-19 13:32 79368 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mdbu.bin
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
"NokiaSuite.exe"="c:\programme\Nokia\Nokia Suite\NokiaSuite.exe" [2011-11-01 1053056]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2012-08-28 247768]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-11-06 570664]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-09-16 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-09-16 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-09-16 150040]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2011-09-07 221256]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"ToolBoxFX"="c:\programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2008-08-01 53248]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"HPUsageTracking"="c:\programme\HP\HP UT\bin\hppusg.exe" [2008-08-04 36864]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisableLocalMachineRun"= 0 (0x0)
"DisableLocalMachineRunOnce"= 0 (0x0)
"DisableCurrentUserRun"= 0 (0x0)
"DisableCurrentUserRunOnce"= 0 (0x0)
"NoFile"= 0 (0x0)
"HideClock"= 0 (0x0)
"NoDevMgrUpdate"= 0 (0x0)
"NoDFSTab"= 0 (0x0)
"NoEncryptOnMove"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\bookfactory.ch\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\cablecom\\installer\\cablecom_installer.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
R0 WRkrn;WRkrn;c:\windows\system32\drivers\WRkrn.sys --> c:\windows\system32\drivers\WRkrn.sys [?]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [28.08.2012 06:41 92632]
R3 busbcrw;USB Card Reader Writer driver;c:\windows\system32\drivers\busbcrw.sys [03.03.2009 19:06 18944]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [18.02.2009 17:57 110080]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [03.07.2012 12:19 160944]
S2 WRSVC;WRSVC;"c:\programme\Webroot\WRSA.exe" -service --> c:\programme\Webroot\WRSA.exe [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [19.09.2009 18:00 1527900]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-11-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-18 07:25]
.
2012-11-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 14:13]
.
2012-11-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-15 14:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} - hxxp://www.o2c.de/download/O2CPlayer.CAB
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://webcam.steinamrhein.ch/activex/AMC.cab
.
.
------- Dateityp-Verknüpfung -------
.
JSEFile="%SystemRoot%\System32\WScript.exe" "%1" %*
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-11-26 22:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3332937626-2797723314-1654991563-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,08,79,9e,37,b0,bf,82,4c,8b,fd,3f,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,31,b3,7f,c5,54,ac,fe,45,91,79,bf,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(5208)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-11-26 22:45:08
ComboFix-quarantined-files.txt 2012-11-26 21:45
.
Vor Suchlauf: 33 Verzeichnis(se), 187'059'240'960 Bytes frei
Nach Suchlauf: 34 Verzeichnis(se), 187'244'220'416 Bytes frei
.
- - End Of File - - 111A64805097AA4A163B37926A62CA29
|
|
27.11.2012, 16:29
| #10 | |
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Gut soweit: Schritt 1: Quick-Scan mit Malwarebytes Schritt 2: ESET Online Scanner Zitat:
Schritt 3: Scan mit SecurityCheck Downloade Dir bitte SecurityCheck
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
28.11.2012, 22:32
| #11 |
| | ukash virus - bundestrojaner - schweiz - windows xp Schritt 1 - done Code:
ATTFilter Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.11.28.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Administrator :: USBA [Administrator] 28.11.2012 20:25:04 mbam-log-2012-11-28 (20-25-04).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 209325 Laufzeit: 7 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 1 C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Löschen bei Neustart. Infizierte Registrierungsschlüssel: 10 HKCR\CLSID\{B15FD82E-85BC-430d-90CB-65DB1B030510} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\TypeLib\{F0D4B230-DA4B-4daf-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{F0D4B23A-DA4B-4DAF-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\AskSBar.ToolbarPlugin.1 (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\AskSBar.ToolbarPlugin (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AskSBar Uninstall (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\CLSID\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B231-DA4B-4DAF-81E4-DFEE4931A4AA} (Adware.AskSBAR) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Löschen bei Neustart. (Ende) Code:
ATTFilter C:\Dokumente und Einstellungen\Administrator\Desktop\media.player.codec.pack.v4.0.1.setup.exe a variant of Win32/Toolbar.Widgi application
C:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL a variant of Win32/Toolbar.MyWebSearch application
C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL Win32/Toolbar.AskSBar application
C:\Qoobox\Quarantine\C\WINDOWS\system32\fjhdyfhsn.bat.vir BAT/KillFiles.NDT trojan
C:\System Volume Information\_restore{BF7C40AC-6FFB-418E-B7A8-2593A0D8A439}\RP1248\A0138203.exe a variant of Win32/SoftonicDownloader.A application
C:\System Volume Information\_restore{BF7C40AC-6FFB-418E-B7A8-2593A0D8A439}\RP1324\A0147916.bat BAT/KillFiles.NDT trojan
Code:
ATTFilter Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Webroot SecureAnywhere Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.65.1.1000 Java(TM) 6 Update 13 Java version out of Date! Adobe Reader 9 Adobe Reader out of Date! Google Chrome 22.0.1229.95 Google Chrome 23.0.1271.64 Google Chrome 23.0.1271.91 ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` VirenScanner wieder aktiviert |
|
28.11.2012, 22:36
| #12 | |
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Schritt 1: Fix mit OTL Schritt 2: Java Update (Windows XP, Vista, 7) Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.Schritt 3: Update: Adobe Reader
Probiere einen alternativen Viewer für pdf-Dokumente aus. Diese sind meist schlanker, schneller und schleusen sehr viel seltener Schädlinge ein. Mein Vorschlag:
Scan mit SecurityCheck Downloade Dir bitte SecurityCheck
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
29.11.2012, 21:58
| #13 |
| | ukash virus - bundestrojaner - schweiz - windows xp Schritt 1, 2, 3, 4 - done Code:
ATTFilter ========== FILES ==========
C:\Programme\AskSBar\SrchAstt\1.bin folder moved successfully.
C:\Programme\AskSBar\SrchAstt folder moved successfully.
C:\Programme\AskSBar\bar\Settings folder moved successfully.
C:\Programme\AskSBar\bar\History folder moved successfully.
C:\Programme\AskSBar\bar\Cache folder moved successfully.
C:\Programme\AskSBar\bar\1.bin folder moved successfully.
C:\Programme\AskSBar\bar folder moved successfully.
C:\Programme\AskSBar folder moved successfully.
C:\Dokumente und Einstellungen\Administrator\Desktop\media.player.codec.pack.v4.0.1.setup.exe moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 11292012_212234
Code:
ATTFilter Results of screen317's Security Check version 0.99.56
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Webroot SecureAnywhere
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 9
Adobe Reader XI
Google Chrome 22.0.1229.95
Google Chrome 23.0.1271.64
Google Chrome 23.0.1271.91
````````Process Check: objlist.exe by Laurent````````
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````
|
|
29.11.2012, 22:51
| #14 | ||||
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Prima!  Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich. Schritt 1: Tools deinstallieren
Schritt 2: ESET deinstallieren (Optional) Abschließend noch Tipps zu folgenden Themen:
Damit wünsche ich dir noch viel Spaß beim Surfen im Internet ... und vielleicht möchtest du ja das Trojaner-Board unterstützen? Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
01.12.2012, 12:47
| #15 |
| /// TB-Ausbilder | ukash virus - bundestrojaner - schweiz - windows xp Schön, dass wir helfen konnten  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
| Themen zu ukash virus - bundestrojaner - schweiz - windows xp |
| anbei, bereits, bundes, bundestrojaner, durchsucht, eingefangen, forum, gefangen, gen, laufe, laufen, logfiles, otlpe, schweiz, troja, trojaner, trojaner eingefangen, ukash, ukash trojaner, ukash virus, virus, windows, windows xp |
Textbox.
Button.
und dann 
+ R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.
Linear-Darstellung
