Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: exploit.drop.gsa eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.01.2013, 23:02   #1
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Ich hoffe jemand kann mir helfen, ich habe exploit.drop.gsa eingefangen. Sofort nachher habe ich mit „Malware Bytes“ gescannt..Ergebnis liegt ins Logfile. Ein weiteres Scan zeigt gar nichts (auch mit cccleaner) aber mein Rechner hat noch Problemen....
Das Rechner bootet ok aber es kommt ein Meldung von Windows (7) „Wartungscenter“...“Dienst Windows Sicherheitscenter aktivieren“. Dieser dienst startet nichts und dem Feld „Abhängigkeiten“ ist leer. Unter Dienst Verwaltungsinstrumentation steht „Modul nicht gefunden“ , auch hier unter Abhängigkeiten steht nichts. Logfiles von OTL und GMER sind auch unten. Danke ins Voraus.
Angehängte Dateien
Dateityp: txt gmer.txt (66,4 KB, 160x aufgerufen)
Dateityp: txt MalwareBytesLog06.01.2013.txt (2,9 KB, 136x aufgerufen)
Dateityp: txt OTL.Txt (74,1 KB, 142x aufgerufen)
Dateityp: txt Extras.Txt (42,6 KB, 200x aufgerufen)

Alt 08.01.2013, 23:07   #2
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Hi,
ausführen bitte,
Index of /win-services/
nachfrage bestätigen
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
__________________

__________________

Alt 09.01.2013, 02:27   #3
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



…....“Hi,
ausführen bitte,
Index of /win-services/
nachfrage bestätigen „

es gibt kein nachfrage zu bestätigen, bitte Link überprufen




…....„bei funden erst mal immer skip wählen, log posten“
__________________

Es gibt überhaupt keine Möglichkeiten das Log (Report) zum kopieren

Danke für die schnelle Antwort
__________________

Alt 09.01.2013, 02:52   #4
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Sorry. Log gefunden

Alt 09.01.2013, 15:42   #5
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Hi,
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.01.2013, 18:44   #6
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Combofix Logfile:
Code:
ATTFilter
ComboFix 13-01-08.01 - stoppage 09.01.2013  19:15:10.1.2 - x86
ausgeführt von:: c:\users\stoppage\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\ntuser.dat
c:\users\stoppage\AppData\Roaming\inst.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-09 bis 2013-01-09  ))))))))))))))))))))))))))))))
.
.
2013-01-09 18:20 . 2013-01-09 18:26	--------	d-----w-	c:\users\stoppage\AppData\Local\temp
2013-01-07 05:09 . 2013-01-07 05:09	--------	d-----w-	c:\program files\Avidemux 2.5
2013-01-07 03:00 . 2013-01-04 21:00	112640	----a-w-	c:\windows\system32\ff_vfw.dll
2013-01-07 02:59 . 2013-01-07 03:00	--------	d-----w-	c:\program files\ffdshow
2012-12-29 12:51 . 2012-11-19 00:04	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{688EDEDB-3E0F-401B-AA9F-95BF4878F498}\mpengine.dll
2012-12-27 14:09 . 2012-12-27 14:09	--------	d-----w-	c:\users\stoppage\AppData\Local\Apps
2012-12-25 11:59 . 2003-06-18 16:31	18944	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2012-12-25 11:59 . 2003-06-18 16:31	17920	----a-w-	c:\windows\system32\mdimon.dll
2012-12-25 11:58 . 2012-12-25 11:58	--------	d-----w-	c:\windows\PCHEALTH
2012-12-25 11:58 . 2012-12-25 11:58	--------	d-----w-	c:\program files\Microsoft.NET
2012-12-24 23:07 . 2012-12-24 23:07	2965	----a-w-	c:\programdata\dsgsdgdsgdsgw.js
2012-12-22 12:37 . 2012-12-16 14:13	295424	----a-w-	c:\windows\system32\atmfd.dll
2012-12-22 12:37 . 2012-12-16 14:13	34304	----a-w-	c:\windows\system32\atmlib.dll
2012-12-22 00:59 . 2012-12-22 00:59	--------	d-----w-	c:\program files\Xvid
2012-12-22 00:59 . 2011-06-24 14:58	153088	----a-w-	c:\windows\system32\xvid.ax
2012-12-21 23:10 . 2012-12-21 23:10	--------	d-----w-	c:\program files\PriceGong
2012-12-21 23:09 . 2012-12-21 23:09	--------	d-----w-	c:\users\stoppage\AppData\Local\Wajam
2012-12-21 23:08 . 2012-12-21 23:12	--------	d-----w-	c:\programdata\SweetIM
2012-12-21 23:08 . 2012-12-21 23:12	--------	d-----w-	c:\program files\SweetIM
2012-12-21 22:51 . 2011-06-24 15:44	243200	----a-w-	c:\windows\system32\xvidvfw.dll
2012-12-21 22:51 . 2011-06-24 15:28	650752	----a-w-	c:\windows\system32\xvidcore.dll
2012-12-21 18:42 . 2012-12-21 18:42	--------	d-----w-	c:\users\stoppage\AppData\Roaming\TuneUp Software
2012-12-21 18:42 . 2012-12-21 18:42	--------	d-----w-	c:\program files\TuneUp Utilities
2012-12-21 16:36 . 2012-12-21 16:53	--------	d-----w-	c:\users\stoppage\AppData\Roaming\ImgBurn
2012-12-20 18:04 . 2012-12-20 18:05	--------	d-----w-	c:\program files\VirtDub
2012-12-15 18:15 . 2012-12-26 15:52	--------	d-----w-	c:\users\stoppage\AppData\Roaming\skypePM
2012-12-15 18:09 . 2012-12-26 15:56	--------	d-----w-	c:\users\stoppage\AppData\Roaming\Skype
2012-12-15 18:09 . 2012-12-15 18:09	--------	d-----w-	c:\program files\Skype
2012-12-15 18:09 . 2012-12-15 18:09	--------	d-----w-	c:\program files\Common Files\Skype
2012-12-15 18:09 . 2012-12-15 18:09	--------	d-----w-	c:\programdata\Skype
2012-12-15 17:22 . 2012-11-09 04:42	2048	----a-w-	c:\windows\system32\tzres.dll
2012-12-13 23:33 . 2012-12-20 10:22	--------	d-----w-	c:\users\stoppage\AppData\Roaming\gtk-2.0
2012-12-13 23:33 . 2012-12-20 10:19	--------	d-----w-	c:\users\stoppage\.thumbnails
2012-12-13 23:28 . 2012-12-20 11:53	--------	d-----w-	c:\users\stoppage\.gimp-2.6
2012-12-13 23:28 . 2012-12-13 23:28	--------	d-----w-	c:\users\stoppage\.gegl-0.0
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-09 18:25 . 2012-11-29 02:35	17488	----a-w-	c:\windows\gdrv.sys
2013-01-09 17:13 . 2012-11-29 02:36	24944	----a-w-	c:\windows\system32\drivers\GVTDrv.sys
2012-12-16 16:07 . 2012-12-02 04:38	6688	----a-w-	c:\windows\movexe.exe
2012-12-07 17:23 . 2012-12-07 17:23	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-12-07 17:23 . 2012-12-07 17:23	821736	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-12-07 17:23 . 2012-12-07 17:23	746984	----a-w-	c:\windows\system32\deployJava1.dll
2012-12-04 19:39 . 2012-12-04 19:36	47360	----a-w-	c:\windows\system32\drivers\pcouffin.sys
2012-12-04 19:39 . 2012-12-04 19:36	47360	----a-w-	c:\users\stoppage\AppData\Roaming\pcouffin.sys
2012-12-04 14:07 . 2012-12-04 14:07	53248	----a-r-	c:\users\stoppage\AppData\Roaming\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2012-12-02 13:33 . 2009-07-14 02:05	152576	----a-w-	c:\windows\system32\msclmd.dll
2012-11-30 19:32 . 2012-11-30 19:32	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-30 19:32 . 2012-11-30 19:32	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-30 06:56 . 2008-09-30 18:35	65536	----a-w-	c:\windows\system32\camcodec.dll
2012-11-29 06:25 . 2012-11-29 06:25	86528	----a-w-	c:\windows\system32\iesysprep.dll
2012-11-29 06:25 . 2012-11-29 06:25	76800	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2012-11-29 06:25 . 2012-11-29 06:25	74752	----a-w-	c:\windows\system32\RegisterIEPKEYs.exe
2012-11-29 06:25 . 2012-11-29 06:25	74752	----a-w-	c:\windows\system32\iesetup.dll
2012-11-29 06:25 . 2012-11-29 06:25	63488	----a-w-	c:\windows\system32\tdc.ocx
2012-11-29 06:25 . 2012-11-29 06:25	48640	----a-w-	c:\windows\system32\mshtmler.dll
2012-11-29 06:25 . 2012-11-29 06:25	367104	----a-w-	c:\windows\system32\html.iec
2012-11-29 06:25 . 2012-11-29 06:25	35840	----a-w-	c:\windows\system32\imgutil.dll
2012-11-29 06:25 . 2012-11-29 06:25	23552	----a-w-	c:\windows\system32\licmgr10.dll
2012-11-29 06:25 . 2012-11-29 06:25	161792	----a-w-	c:\windows\system32\msls31.dll
2012-11-29 06:25 . 2012-11-29 06:25	152064	----a-w-	c:\windows\system32\wextract.exe
2012-11-29 06:25 . 2012-11-29 06:25	150528	----a-w-	c:\windows\system32\iexpress.exe
2012-11-29 06:25 . 2012-11-29 06:25	11776	----a-w-	c:\windows\system32\mshta.exe
2012-11-29 06:25 . 2012-11-29 06:25	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2012-11-29 06:25 . 2012-11-29 06:25	101888	----a-w-	c:\windows\system32\admparse.dll
2012-11-15 01:36 . 2012-11-15 01:36	35592	----a-w-	c:\windows\system32\drivers\taphss6.sys
2012-11-15 01:29 . 2012-11-15 01:29	35592	----a-w-	c:\windows\system32\drivers\hssdrv6.sys
2012-10-30 22:51 . 2012-11-29 12:56	361032	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-10-30 22:51 . 2012-11-29 12:56	54232	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-10-30 22:51 . 2012-11-29 12:56	738504	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-10-30 22:51 . 2012-11-29 12:56	58680	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-10-30 22:51 . 2012-11-29 12:56	21256	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-10-30 22:51 . 2012-11-29 12:56	41224	----a-w-	c:\windows\avastSS.scr
2012-10-30 22:50 . 2012-11-29 12:56	227648	----a-w-	c:\windows\system32\aswBoot.exe
2012-10-15 16:59 . 2012-11-29 12:56	44784	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0F3DC9E0-C459-4a40-BCF8-747BD9322E10}"= "c:\program files\Splashtop\Splashtop Connect IE\AddressBarSearch.dll" [2011-03-04 165776]
.
[HKEY_CLASSES_ROOT\clsid\{0f3dc9e0-c459-4a40-bcf8-747bd9322e10}]
[HKEY_CLASSES_ROOT\AddressBarSearch.SearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{4E8E0178-00EF-413d-9324-E7B3E31572E3}]
[HKEY_CLASSES_ROOT\AddressBarSearch.SearchHook]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	121528	----a-w-	c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STCAgent"="c:\program files\Splashtop\Splashtop Connect IE\STCAgent.exe" [2011-03-04 776064]
"ZyngaGamesAgent"="c:\program files\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" [2010-11-15 841544]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-01-12 144152]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-01-12 179992]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-01-12 188184]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2012-01-16 10959464]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"LWS"="c:\program files\Logitech\LWS\Webcam Software\LWS.exe" [2011-11-11 205336]
"Openwares LiveUpdate"="c:\program files\LiveUpdate\LiveUpdate.exe" [2003-12-13 61440]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
c:\users\Tony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.4.1.lnk - d:\programme\OpenOffice\program\quickstart.exe [2012-8-13 1199104]
.
c:\users\stoppage\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech . Produktregistrierung.lnk - c:\program files\Logitech\Ereg\eReg.exe [2009-11-16 517384]
OpenOffice.org 3.4.1.lnk - d:\programme\OpenOffice\program\quickstart.exe [2012-8-13 1199104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sweetpacks Communicator]
2012-08-15 18:08	231768	----a-w-	c:\program files\SweetIM\Communicator\SweetPacksUpdateManager.exe
.
R3 AppleChargerSrv;AppleChargerSrv;c:\windows\system32\AppleChargerSrv.exe [x]
R3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 SureThing Labelflash service;SureThing Labelflash service;c:\program files\Common Files\SureThing Shared\stllssvr.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 taphss6;Anchorfree HSS VPN Adapter;c:\windows\system32\DRIVERS\taphss6.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 AppleCharger;AppleCharger;c:\windows\system32\DRIVERS\AppleCharger.sys [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 HssDRV6;Hotspot Shield Routing Driver 6;c:\windows\system32\DRIVERS\hssdrv6.sys [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 IB Updater;IB Updater;c:\program files\IB Updater\ExtensionUpdaterService.exe [x]
S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [x]
S2 SCBackService;Splashtop Connect Service;c:\program files\Splashtop\Splashtop Connect\BackService.exe [x]
S2 UMVPFSrv;UMVPFSrv;c:\program files\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [x]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
S2 WCUService_STC_FF;Splashtop Connect Firefox Software Updater Service;c:\program files\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [x]
S2 WCUService_STC_IE;Splashtop Connect IE Software Updater Service;c:\program files\Splashtop\Splashtop Connect IE Software Updater\WCUService.exe [x]
S3 EtronHub3;Etron USB 3.0 Extensible Hub Driver;c:\windows\system32\Drivers\EtronHub3.sys [x]
S3 EtronXHCI;Etron USB 3.0 Extensible Host Controller Driver;c:\windows\system32\Drivers\EtronXHCI.sys [x]
S3 ICCS;Intel(R) Integrated Clock Controller Service - Intel(R) ICCS;c:\program files\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe [x]
S3 IntcDAud;Intel(R) Display-Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MEI;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\HECI.sys [x]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26
IE: Nach Microsoft &Excel exportieren - c:\progra~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{47F1BAEA-EC91-40B2-A946-934EC00A5BB1}: NameServer = 192.168.1.1
TCP: Interfaces\{E908FCC5-355D-4ACB-81DE-EC58E6175CF4}: NameServer = 213.191.74.19 62.109.123.197
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Canon\IJPLM\IJPLMSVC.EXE
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\unsecapp.exe
d:\programme\OpenOffice\program\soffice.exe
d:\programme\OpenOffice\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-09  19:29:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-09 18:29
.
Vor Suchlauf: 16 Verzeichnis(se), 17.169.211.392 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 17.449.988.096 Bytes frei
.
- - End Of File - - 23267D6D8DDA77912A97C415EAE7864D
         
--- --- ---

Alt 09.01.2013, 18:53   #7
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.01.2013, 20:27   #8
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.01.09.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
stoppage :: GIGABYTE [administrator]

09.01.2013 20:07:32
mbam-log-2013-01-09 (20-07-32).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 374841
Time elapsed: 50 minute(s), 11 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Users\stoppage\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\1ede2ede-61095d99 (Trojan.FakeMS) -> Quarantined and deleted successfully.

(end)

Meldung “Dienst Windows Sicherheitscenter aktivieren“ kommt nicht mehr und der Sicherheitscenter startet. Statt diesen, meldet Wartungscenter das ich habe kein Antiviren Programm obwohl „Avast“ läuft wie normal

Alt 10.01.2013, 15:04   #9
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Hi,
de und reaktiviere Avast mal
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.01.2013, 19:01   #10
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Panik!
Ich muss das mit Wartungscenter und Avast momentan zur Seite lassen, mein Word Dokuments öffnen nicht richtig! Es kommt die Meldung ….“ist keine zulässige 32-Bit Anwendung“. Wann ich das Programme WinWord öffne kann ich das Dokument importieren ohne Problem; aber von „öffnen mit/Standardprogramme/Durchsuchung“ kommt „WinWord“ nicht. Ich habe Office mehrmals neu installiert. „Systemsreurung/Programme/Standardprogramme“ scheint in Ordnung zu sein. Hilfe bitte!

Code:
ATTFilter
@BIOS notwendig
Adobe Flash Player 11 Plugin  notwendig
Adobe Reader XI  notwendig
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Drive notwendigr
AutoGreen B10.1021.1  notwendig
avast! Free Antivirus  notwendig
Avidemux 2.5 (32-bit)   notwendig
CameraHelperMsi   notwendig
CamStudio   notwendig
CamStudio Lossless Codec   notwendig
Canon iP4600 series Benutzerregistrierung   notwendig  
Canon iP4600 series Printer Driver   notwendig
Canon Utilities Easy-PhotoP rint EX  notwendig
Canon Utilities My Printer  notwendig
Canon Utilities Solution Menu  notwendig
CD-LabelPrint   notwendig
ConvertXtoDVD 2.2.2.256  notwendig
DScaler 5 Mpeg Decoders  notwendig
Easy Tune 6 B12.0328.1   unnötig
erLT  notwendig
Etron USB3.0 Host Controller  notwendig
IB Updater 2.0.0.530   notwendig
IB Updater Service   notwendig
Inkjet Printer/Scanner Extended Survey Program   unnötig
Intel(R) Management Engine Components  notwendig
Intel(R) OpenCL CPU Runtime   notwendig
Intel(R) Processor Graphics  notwendig
Intel® Trusted Connect Service Client  notwendig
Internet Explorer Toolbar 4.6 by SweetPacks   unnötig
Java 7 Update 9  notwendig
Java Auto Updater  notwendig
K-Lite Codec Pack 9.6.0 (Standard)  notwendig
Logitech Webcam Software  notwendig
LTOOLS  notwendig
LWS Facebook  notwendig
LWS Gallery   notwendig
LWS Help_main  notwendig
LWS Launcher  notwendig
LWS Motion Detection  notwendig
LWS Pictures And Video  notwendig
LWS Twitter   notwendig
LWS Video Mask Maker  notwendig
LWS VideoEffects  notwendig
LWS Webcam Software notwendig
LWS WLM Plugin  notwendig
LWS YouTube Plugin  notwendig
Microsoft Office Professional Edition 2003  notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148  notwendig
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161  notwendig
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319 notwendig
ON_OFF Charge B11.0110.1   notwendig
OpenOffice.org 3.4.1   notwendig
Realtek High Definition Audio Driver  notwendig
Skype™ 3.6  notwendig
Splashtop Connect for Firefox  unnötig
Splashtop Connect IE              unnötig
SureThing CD Labeler Deluxe 5  notwendig
TuneUp Utilities 2003  notwendig
Update Manager for SweetPacks 1.1   unnötig
VLC media player 2.0.1   notwendig
Xvid Video Codec  notwendig
         

Alt 11.01.2013, 17:49   #11
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Easy Tune
Inkjet
Internet Explorer Toolbar
Java : alle
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
Skype™
Installieren Sie Skype kostenlos für Anrufe, Videoanrufe und IM
aktuell ist version 6

deinstaliere:
Splashtop alle
TuneUp : verzichte auf solchen Unsinn, bringt nichts, und einige Funktionen schaden dem pc
Update Manager

Öffne CCleaner, analysieren, starten, pc neustarten.
Wenn office immernoch nicht funktioniert, de und reinstaliere es mal.
Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste
    mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.01.2013, 21:04   #12
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Alles gemacht....Word Problem bleibt unverändert!"


Code:
ATTFilter
# AdwCleaner v2.105 - Datei am 11/01/2013 um 21:57:01 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits)
# Benutzer : stoppage - GIGABYTE
# Bootmodus : Normal
# Ausgeführt unter : D:\Programme\adwcleaner.exe
# Option [Suche]


**** [Dienste] ****

Gefunden : IB Updater

***** [Dateien / Ordner] *****

Datei Gefunden : C:\user.js
Datei Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\searchplugins\SweetIm.xml
Datei Gefunden : C:\Windows\system32\ImhxxpComm.dll
Ordner Gefunden : C:\Program Files\IB Updater
Ordner Gefunden : C:\Users\stoppage\AppData\Local\Wajam
Ordner Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
Ordner Gefunden : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\SweetPacksToolbarData
Ordner Gefunden : C:\Windows\system32\WNLT

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gefunden : HKCU\Software\IM
Schlüssel Gefunden : HKCU\Software\ImInstaller
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gefunden : HKCU\Software\SweetIM
Schlüssel Gefunden : HKCU\Software\WNLT
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gefunden : HKLM\Software\IB Updater
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gefunden : HKLM\Software\SweetIM
Schlüssel Gefunden : HKLM\Software\WNLT
Schlüssel Gefunden : HKU\S-1-5-21-376218753-2448307086-2853584291-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Wert Gefunden : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]

Datei : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\prefs.js

Gefunden : user_pref("extensions.incredibar.actvtyRptTime", "1357700504843");
Gefunden : user_pref("extensions.incredibar.admin", false);
Gefunden : user_pref("extensions.incredibar.aflt", "orgnl");
Gefunden : user_pref("extensions.incredibar.afterInstallRpt", "sent");
Gefunden : user_pref("extensions.incredibar.cntry", "DE");
Gefunden : user_pref("extensions.incredibar.dfltLng", "EN");
Gefunden : user_pref("extensions.incredibar.dfltSrch", false);
Gefunden : user_pref("extensions.incredibar.dfltlng", "EN");
Gefunden : user_pref("extensions.incredibar.dfltsrch", "false");
Gefunden : user_pref("extensions.incredibar.did", "10678");
Gefunden : user_pref("extensions.incredibar.envrmnt", "production");
Gefunden : user_pref("extensions.incredibar.excTlbr", false);
Gefunden : user_pref("extensions.incredibar.hdrMd5", "C96CB859CA3ABF43C90C8E7293A7C3F8");
Gefunden : user_pref("extensions.incredibar.hmpg", false);
Gefunden : user_pref("extensions.incredibar.hrdid", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar.id", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar.installerproductid", "26");
Gefunden : user_pref("extensions.incredibar.instlDay", "15674");
Gefunden : user_pref("extensions.incredibar.instlRef", "");
Gefunden : user_pref("extensions.incredibar.instlday", "15674");
Gefunden : user_pref("extensions.incredibar.instlref", "");
Gefunden : user_pref("extensions.incredibar.isDcmntCmplt", false);
Gefunden : user_pref("extensions.incredibar.isdcmntcmplt", "false");
Gefunden : user_pref("extensions.incredibar.keywordurl", "");
Gefunden : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Gefunden : user_pref("extensions.incredibar.newTab", false);
Gefunden : user_pref("extensions.incredibar.newtab", "false");
Gefunden : user_pref("extensions.incredibar.newtaburl", "");
Gefunden : user_pref("extensions.incredibar.noFFXTlbr", false);
Gefunden : user_pref("extensions.incredibar.ppd", "111");
Gefunden : user_pref("extensions.incredibar.prdct", "incredibar");
Gefunden : user_pref("extensions.incredibar.productid", "26");
Gefunden : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Gefunden : user_pref("extensions.incredibar.prtnrid", "Incredibar");
Gefunden : user_pref("extensions.incredibar.sg", "none");
Gefunden : user_pref("extensions.incredibar.smplGrp", "none");
Gefunden : user_pref("extensions.incredibar.smplgrp", "none");
Gefunden : user_pref("extensions.incredibar.srch", "");
Gefunden : user_pref("extensions.incredibar.srchprvdr", "");
Gefunden : user_pref("extensions.incredibar.tlbrId", "base");
Gefunden : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gefunden : user_pref("extensions.incredibar.tlbrid", "base");
Gefunden : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gefunden : user_pref("extensions.incredibar.upn2", "6OyVJvAqLY");
Gefunden : user_pref("extensions.incredibar.upn2n", "92262538759592054");
Gefunden : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar.vrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar.vrsnts", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gefunden : user_pref("extensions.incredibar_i.dfltLng", "");
Gefunden : user_pref("extensions.incredibar_i.did", "10678");
Gefunden : user_pref("extensions.incredibar_i.excTlbr", false);
Gefunden : user_pref("extensions.incredibar_i.id", "5efadc19000000000000902b34824687");
Gefunden : user_pref("extensions.incredibar_i.installerproductid", "26");
Gefunden : user_pref("extensions.incredibar_i.instlDay", "15674");
Gefunden : user_pref("extensions.incredibar_i.instlRef", "");
Gefunden : user_pref("extensions.incredibar_i.ms_url_id", "");
Gefunden : user_pref("extensions.incredibar_i.newTab", false);
Gefunden : user_pref("extensions.incredibar_i.ppd", "111");
Gefunden : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gefunden : user_pref("extensions.incredibar_i.productid", "26");
Gefunden : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gefunden : user_pref("extensions.incredibar_i.smplGrp", "none");
Gefunden : user_pref("extensions.incredibar_i.tlbrId", "base");
Gefunden : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB[...]
Gefunden : user_pref("extensions.incredibar_i.upn2", "6OyVJvAqLY");
Gefunden : user_pref("extensions.incredibar_i.upn2n", "92262538759592054");
Gefunden : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gefunden : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.145:27:30");
Gefunden : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gefunden : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Gefunden : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Gefunden : user_pref("sweetim.toolbar.Visibility.enable", "true");
Gefunden : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Gefunden : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Gefunden : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.ht[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]
Gefunden : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Gefunden : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Gefunden : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]
Gefunden : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gefunden : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gefunden : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gefunden : user_pref("sweetim.toolbar.mode.debug", "false");
Gefunden : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Gefunden : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Gefunden : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Gefunden : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Gefunden : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Gefunden : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Gefunden : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.callback", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]
Gefunden : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Gefunden : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Gefunden : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Gefunden : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Gefunden : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]
Gefunden : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gefunden : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gefunden : user_pref("sweetim.toolbar.searchguard.enable", "false");
Gefunden : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Gefunden : user_pref("sweetim.toolbar.simapp_id", "{578B50CC-4BC3-11E2-984D-00E0530E7245}");
Gefunden : user_pref("sweetim.toolbar.version", "1.6.0.3");

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\stoppage\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [14577 octets] - [11/01/2013 21:57:01]

########## EOF - C:\AdwCleaner[R1].txt - [14638 octets] ##########
         

Alt 11.01.2013, 21:10   #13
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Schließe
    alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein
    Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den
    Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x = fortlaufende Nummer)
du hattest office de- und reinstaliert?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.01.2013, 22:00   #14
stoppage
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



Ja ich habe Office de und reinstalliert


Code:
ATTFilter
# AdwCleaner v2.105 - Datei am 11/01/2013 um 22:42:28 erstellt
# Aktualisiert am 08/01/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (32 bits)
# Benutzer : stoppage - GIGABYTE
# Bootmodus : Normal
# Ausgeführt unter : D:\Programme\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : IB Updater

***** [Dateien / Ordner] *****

Datei Gelöscht : C:\user.js
Datei Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\searchplugins\SweetIm.xml
Datei Gelöscht : C:\Windows\system32\ImhxxpComm.dll
Ordner Gelöscht : C:\Program Files\IB Updater
Ordner Gelöscht : C:\Users\stoppage\AppData\Local\Wajam
Ordner Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
Ordner Gelöscht : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\SweetPacksToolbarData
Ordner Gelöscht : C:\Windows\system32\WNLT

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E5680D1-BF44-4929-94AF-FD30D784AD1D}
Schlüssel Gelöscht : HKCU\Software\SweetIM
Schlüssel Gelöscht : HKCU\Software\WNLT
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Schlüssel Gelöscht : HKLM\Software\IB Updater
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_install_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASAPI32
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Tracing\IncredibarToolbar_RASMANCS
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WNLT
Schlüssel Gelöscht : HKLM\Software\SweetIM
Schlüssel Gelöscht : HKLM\Software\WNLT
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16457

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb185?a=6OyVJvAqLY&i=26 --> hxxp://www.google.com

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]

Datei : C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\prefs.js

C:\Users\stoppage\AppData\Roaming\Mozilla\Firefox\Profiles\8116wwep.default\user.js ... Gelöscht !

Gelöscht : user_pref("extensions.incredibar.actvtyRptTime", "1357700504843");
Gelöscht : user_pref("extensions.incredibar.admin", false);
Gelöscht : user_pref("extensions.incredibar.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar.afterInstallRpt", "sent");
Gelöscht : user_pref("extensions.incredibar.cntry", "DE");
Gelöscht : user_pref("extensions.incredibar.dfltLng", "EN");
Gelöscht : user_pref("extensions.incredibar.dfltSrch", false);
Gelöscht : user_pref("extensions.incredibar.dfltlng", "EN");
Gelöscht : user_pref("extensions.incredibar.dfltsrch", "false");
Gelöscht : user_pref("extensions.incredibar.did", "10678");
Gelöscht : user_pref("extensions.incredibar.envrmnt", "production");
Gelöscht : user_pref("extensions.incredibar.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar.hdrMd5", "C96CB859CA3ABF43C90C8E7293A7C3F8");
Gelöscht : user_pref("extensions.incredibar.hmpg", false);
Gelöscht : user_pref("extensions.incredibar.hrdid", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar.id", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar.instlDay", "15674");
Gelöscht : user_pref("extensions.incredibar.instlRef", "");
Gelöscht : user_pref("extensions.incredibar.instlday", "15674");
Gelöscht : user_pref("extensions.incredibar.instlref", "");
Gelöscht : user_pref("extensions.incredibar.isDcmntCmplt", false);
Gelöscht : user_pref("extensions.incredibar.isdcmntcmplt", "false");
Gelöscht : user_pref("extensions.incredibar.keywordurl", "");
Gelöscht : user_pref("extensions.incredibar.lastVrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar.mntrvrsn", "1.2.0");
Gelöscht : user_pref("extensions.incredibar.newTab", false);
Gelöscht : user_pref("extensions.incredibar.newtab", "false");
Gelöscht : user_pref("extensions.incredibar.newtaburl", "");
Gelöscht : user_pref("extensions.incredibar.noFFXTlbr", false);
Gelöscht : user_pref("extensions.incredibar.ppd", "111");
Gelöscht : user_pref("extensions.incredibar.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar.productid", "26");
Gelöscht : user_pref("extensions.incredibar.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar.prtnrid", "Incredibar");
Gelöscht : user_pref("extensions.incredibar.sg", "none");
Gelöscht : user_pref("extensions.incredibar.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar.smplgrp", "none");
Gelöscht : user_pref("extensions.incredibar.srch", "");
Gelöscht : user_pref("extensions.incredibar.srchprvdr", "");
Gelöscht : user_pref("extensions.incredibar.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gelöscht : user_pref("extensions.incredibar.tlbrid", "base");
Gelöscht : user_pref("extensions.incredibar.tlbrsrchurl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB_T[...]
Gelöscht : user_pref("extensions.incredibar.upn2", "6OyVJvAqLY");
Gelöscht : user_pref("extensions.incredibar.upn2n", "92262538759592054");
Gelöscht : user_pref("extensions.incredibar.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar.vrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar.vrsni", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar.vrsnts", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar_i.aflt", "orgnl");
Gelöscht : user_pref("extensions.incredibar_i.dfltLng", "");
Gelöscht : user_pref("extensions.incredibar_i.did", "10678");
Gelöscht : user_pref("extensions.incredibar_i.excTlbr", false);
Gelöscht : user_pref("extensions.incredibar_i.id", "5efadc19000000000000902b34824687");
Gelöscht : user_pref("extensions.incredibar_i.installerproductid", "26");
Gelöscht : user_pref("extensions.incredibar_i.instlDay", "15674");
Gelöscht : user_pref("extensions.incredibar_i.instlRef", "");
Gelöscht : user_pref("extensions.incredibar_i.ms_url_id", "");
Gelöscht : user_pref("extensions.incredibar_i.newTab", false);
Gelöscht : user_pref("extensions.incredibar_i.ppd", "111");
Gelöscht : user_pref("extensions.incredibar_i.prdct", "incredibar");
Gelöscht : user_pref("extensions.incredibar_i.productid", "26");
Gelöscht : user_pref("extensions.incredibar_i.prtnrId", "Incredibar");
Gelöscht : user_pref("extensions.incredibar_i.smplGrp", "none");
Gelöscht : user_pref("extensions.incredibar_i.tlbrId", "base");
Gelöscht : user_pref("extensions.incredibar_i.tlbrSrchUrl", "hxxp://mystart.Incredibar.com/?a=6OyVJvAqLY&loc=IB[...]
Gelöscht : user_pref("extensions.incredibar_i.upn2", "6OyVJvAqLY");
Gelöscht : user_pref("extensions.incredibar_i.upn2n", "92262538759592054");
Gelöscht : user_pref("extensions.incredibar_i.vrsn", "1.5.11.14");
Gelöscht : user_pref("extensions.incredibar_i.vrsnTs", "1.5.11.145:27:30");
Gelöscht : user_pref("extensions.incredibar_i.vrsni", "1.5.11.14");
Gelöscht : user_pref("keyword.URL", "hxxp://search.sweetim.com/search.asp?src=2&q=");
Gelöscht : user_pref("sweetim.toolbar.Visibility.VisibilityGuardLastUnHide", "0");
Gelöscht : user_pref("sweetim.toolbar.Visibility.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.Visibility.intervaldays", "7");
Gelöscht : user_pref("sweetim.toolbar.cda.DisableOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.cda.HideOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.cda.RemoveOveride.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.handler", "chrome://sim_toolbar_package/content/optionsdialog-h[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.height", "335");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.id", "id_options_dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.title", "$string.config.label;");
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.url", "hxxp://www.sweetim.com/simffbar/options_remote_ff_1_6.ht[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.0.width", "761");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.handler", "chrome://sim_toolbar_package/content/exampledialog-h[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.height", "300");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.id", "id_example_dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.title", "Example (unit-test) dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.url", "chrome://sim_toolbar_package/content/exampledialog.html"[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.1.width", "500");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.enable", "true");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.handler", "chrome://sim_toolbar_package/content/cdadialog-handl[...]
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.height", "150");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.id", "id_dialog_hide_disable_remove");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.title", "Option Dialog");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.url", "hxxp://www.sweetim.com/simffbar/simcdadialog.asp");
Gelöscht : user_pref("sweetim.toolbar.dialogs.2.width", "530");
Gelöscht : user_pref("sweetim.toolbar.dnscatch.domain-blacklist", ".*.sweetim.com/.*|.*.facebook.com/.*|.*.goog[...]
Gelöscht : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Gelöscht : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Gelöscht : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Gelöscht : user_pref("sweetim.toolbar.mode.debug", "false");
Gelöscht : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Gelöscht : user_pref("sweetim.toolbar.scripts.0.addcontextdiv", "true");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.callback", "simVerification");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-blacklist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.domain-whitelist", "hxxp://(www.|apps.)?facebook\\.com.*");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.elementid", "id_script_sim_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.id", "id_script_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.0.url", "hxxp://sc.sweetim.com/apps/in/fb/infb.js");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.addcontextdiv", "true");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.callback", "simVerification");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.domain-whitelist", "hxxps://(www.|apps.)?facebook\\.com.*");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.elementid", "id_script_sim_fb");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.id", "id_script_fb_hxxpS");
Gelöscht : user_pref("sweetim.toolbar.scripts.1.url", "hxxps://sc.sweetim.com/apps/in/fb/infb.js");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.addcontextdiv", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.callback", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-blacklist", ".*.google..*|.*.bing..*|.*.live..*|.*.msn..[...]
Gelöscht : user_pref("sweetim.toolbar.scripts.2.domain-whitelist", "");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.elementid", "id_predict_include_script");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.id", "id_script_prad");
Gelöscht : user_pref("sweetim.toolbar.scripts.2.url", "hxxp://cdn1.certified-apps.com/scripts/shared/enable.js?[...]
Gelöscht : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Gelöscht : user_pref("sweetim.toolbar.search.history.capacity", "10");
Gelöscht : user_pref("sweetim.toolbar.searchguard.enable", "false");
Gelöscht : user_pref("sweetim.toolbar.searchguard.initialized_by_rc", "true");
Gelöscht : user_pref("sweetim.toolbar.simapp_id", "{578B50CC-4BC3-11E2-984D-00E0530E7245}");
Gelöscht : user_pref("sweetim.toolbar.version", "1.6.0.3");

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\stoppage\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [14708 octets] - [11/01/2013 21:57:01]
AdwCleaner[R2].txt - [14769 octets] - [11/01/2013 22:41:42]
AdwCleaner[S1].txt - [14689 octets] - [11/01/2013 22:42:28]

########## EOF - C:\AdwCleaner[S1].txt - [14750 octets] ##########
         

Alt 14.01.2013, 15:36   #15
markusg
/// Malware-holic
 
exploit.drop.gsa eingefangen - Standard

exploit.drop.gsa eingefangen



versuch die deinstalation, falls office nicht läuft, zusätzlich mal mit dem fixit
Deinstallieren oder Entfernen von Microsoft Office 2010-Suites
und reinstaliere es danach
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu exploit.drop.gsa eingefangen
aktiviere, bootet, eingefangen, exploit.drop.gsa, gefangen, gefunde, gen, gmer, hoffe, logfiles, meldung, nichts, probleme, rechner, sicherheitscenter, sofort, starte, startet, verwaltungsinstrumentation, weiteres, windows



Ähnliche Themen: exploit.drop.gsa eingefangen


  1. Exploit.Drop.GS
    Log-Analyse und Auswertung - 07.10.2013 (9)
  2. exploit.drop
    Log-Analyse und Auswertung - 26.03.2013 (31)
  3. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  4. C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (1)
  5. Exploit Drop GSA
    Log-Analyse und Auswertung - 29.01.2013 (7)
  6. Exploit.Drop.GSA
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (32)
  7. GVU Virus - runctf.lnk (im Autostart), wgsdgsdgdsgsd.dll (Exploit.Drop.GS), dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) und dsgsdgdsgdsgw.js
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  8. Exploit.Drop.GS eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (1)
  9. Exploit.Drop.GS, EXP/CVE-2012-0507
    Log-Analyse und Auswertung - 29.12.2012 (10)
  10. GVU Trojaner (Exploit.drop.gsa)
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (12)
  11. Exploit.Drop.GS, blockierte Websiten
    Plagegeister aller Art und deren Bekämpfung - 15.12.2012 (21)
  12. exploit.drop.gs
    Log-Analyse und Auswertung - 29.10.2012 (27)
  13. GVU Trojaner und Exploit.Drop.GS
    Log-Analyse und Auswertung - 27.10.2012 (10)
  14. Exploit.Drop.UR2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (32)
  15. Bifrose.Trace und Exploit.drop.nr2
    Log-Analyse und Auswertung - 05.10.2012 (2)
  16. exploit.drop.ur.2
    Log-Analyse und Auswertung - 20.08.2012 (5)
  17. Exploit.Drop - Trojaner
    Log-Analyse und Auswertung - 03.07.2012 (3)

Zum Thema exploit.drop.gsa eingefangen - Ich hoffe jemand kann mir helfen, ich habe exploit.drop.gsa eingefangen. Sofort nachher habe ich mit „Malware Bytes“ gescannt..Ergebnis liegt ins Logfile. Ein weiteres Scan zeigt gar nichts (auch mit cccleaner) - exploit.drop.gsa eingefangen...
Archiv
Du betrachtest: exploit.drop.gsa eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.