Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Bebloh (DHL-Mail)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.01.2013, 12:35   #1
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Guten Tag,

meine Eltern haben bedauernderweise einen Anhang einer Mail geöffnet. (gefakte DHL Mail)
Sobald ich davon erfahren hab, hab ich den Rechner vom Netz getrennt.
Das ist nun schon 1-2 Monate her. Seitdem wurde der Rechner nur offline genutzt. Nun soll er wieder fit gemacht werden für den Online Betrieb, allerdings nur fürs surfen. (kein Onlinebanking, etc.)
Das ist der Grund, warum ich mich an euch wende, denn ich suche eine Bereinigung.

Nun, vor ein paar Tagen hat G-Data einen Teil des Schädlings 'entfernt' (dampvideo.exe), danach meldete sich der PC nach der Anmeldung sofort wieder ab. Das Problem konnte ich durch Verändern der Registry beheben. (per Boot-CD)
Der Eintrag hieß userinit.exe und irgendwas mit DEBUGGER, und eben der dampvideo.exe.
Den Eintrag habe ich einfach gelöscht, danach funktionierte wieder alles problemlos. Mir ist klar, dass der PC noch lange nicht bereinigt ist, sondern nur die Sympthome bereingt sind.

Da es sich bei dem DEBUGGER Eintrag eindeutig (?) um Bebloh handelt, wollte ich euch Fragen welche Logs ihr denn braucht. (OTL, Mbam, ...?)

Mit freundlichen Grüßen,
Oliver

Alt 19.01.2013, 15:00   #2
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Hi,
bitte poste die GDATA Fundmeldungen.
Warnt bitte Freunde, Bekannte, etc, das im Moment vermehrt E-Mails mit Rechnungen, und sonstigen fake Anhängen unterwegs sind, gib ihnen die Mailadresse aus meiner Signatur, mit bitte, uns verdächtige Mails weiterzuleiten.
__________________

__________________

Alt 19.01.2013, 18:39   #3
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Alle Protokolle sind im Anhang. Die .rar Datei (im Log) habe ich damals gepackt, weiß aber nicht mehr genau was das war, könnte die Ursprungsdatei gewesen sein. Kann die auch hochladen, wenn ihr wollte.
Die Email selber wurde damals gelöscht.
__________________

Alt 19.01.2013, 18:43   #4
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



hi
wenn weitere Spams reinkommen, gerne weiterleiten.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 20.01.2013, 11:29   #5
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Ich habe jetzt mal einen normalen Scan mit 90 Tagen gemacht, weil die Infektion ja schon länger zurück liegt. Hoffe das passt so.


Alt 20.01.2013, 19:16   #6
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 33920 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\mscywm.exe
 :Files
:Commands
[EMPTYFLASH] 
[emptytemp]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________
--> Bebloh (DHL-Mail)

Alt 20.01.2013, 21:15   #7
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Log ist angehängt.
Upload hat problemlos funktioniert.

Danke für die Hilfe!
Oliver
Angehängte Dateien
Dateityp: txt OTL FIX.txt (3,5 KB, 145x aufgerufen)

Alt 21.01.2013, 11:46   #8
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



hi
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.01.2013, 12:58   #9
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Datev, WIBUKEY und AVM kenne ich. Den Rest nicht. Wollte es nur nochmal erwähnen, falls du die jeweiligen Programme nicht kennst. Log im Anhang.

Danke für die bisherige Hilfe!
Oliver

Alt 21.01.2013, 13:01   #10
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Hi
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.01.2013, 13:30   #11
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Code:
ATTFilter
ComboFix 13-01-21.01 - User 21.01.2013  14:08:28.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1525 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: G Data TotalCare 2012 *Disabled/Outdated* {71310606-6F3B-49F2-9A81-8315AA75FBB3}
FW: G Data Personal Firewall *Enabled* {6E6F4BA6-C07D-443F-A130-0A57DA59A082}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\User\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-21 bis 2013-01-21  ))))))))))))))))))))))))))))))
.
.
2013-01-20 20:29 . 2013-01-20 21:02	--------	d-----w-	C:\_OTL
2013-01-20 11:17 . 2013-01-20 11:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe Limited
2013-01-20 11:17 . 2013-01-20 11:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2013-01-20 09:28 . 2012-06-03 08:45	5504	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2013-01-20 09:28 . 2013-01-20 09:28	--------	d-----w-	c:\programme\CDBurnerXP
2013-01-06 14:24 . 2013-01-06 14:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2012-12-30 16:50 . 2012-12-30 16:50	--------	d-----w-	C:\temp
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:23 . 2009-02-17 11:14	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2009-02-17 11:15	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2009-02-17 11:14	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2009-02-17 11:15	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2009-02-17 11:14	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2009-02-17 11:14	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2009-02-17 11:14	385024	----a-w-	c:\windows\system32\html.iec
2002-07-04 09:44 . 2009-04-22 06:07	3208380	------w-	c:\programme\Ulead VideoStudio 5.0.msi
2012-09-06 01:26 . 2012-09-18 18:14	266720	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}]
2011-06-01 07:05	611936	------w-	c:\datev\PROGRAMM\B0000397\DtvIePwdSafe.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OODIIcon]
@="{14A94384-BBED-47ed-86C0-6BF63FD892D0}"
[HKEY_CLASSES_ROOT\CLSID\{14A94384-BBED-47ed-86C0-6BF63FD892D0}]
2009-01-19 22:08	111872	----a-w-	c:\programme\OO Software\DiskImage\oodishi.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-02-03 18085888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
"nwiz"="nwiz.exe" [2009-02-18 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
"G Data AntiVirus Tray Application"="c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe" [2011-05-11 923144]
"GDFirewallTray"="c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe" [2011-10-28 1617416]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DVCCSA]
2011-06-28 07:22	102912	------w-	c:\windows\system32\DVCCSAnotify002.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0OODBS
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SkyUserDevmode-Update.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk
backup=c:\windows\pss\SkyUserDevmode-Update.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-07-27 20:51	919008	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATEV_SCardMan]
2010-09-22 14:47	368736	------w-	c:\datev\PROGRAMM\B0000347\ScMgmt\SCardManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVCCSAWTSSetEntryNTE]
2011-06-28 07:22	549472	----a-w-	c:\datev\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-09-19 20:48	455968	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-12-02 13:29	2221352	----a-w-	c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2008-11-06 06:25	570664	----a-w-	c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
2008-09-04 04:01	2524416	----a-w-	c:\windows\system32\oodtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 10:36	50472	------w-	c:\programme\CyberLink\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 19:23	83240	------w-	c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiPaHost]
2011-05-09 12:52	595552	------w-	c:\datev\PROGRAMM\B0000398\SiPaHost.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
2004-11-26 09:43	90112	------w-	c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WkSvW32.exe"=2 (0x2)
"SQLWriter"=2 (0x2)
"SQLBrowser"=2 (0x2)
"O&O DiskImage"=2 (0x2)
"O&O Defrag"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\WIBUKEY\\Server\\WkSvW32.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\Limaservice.exe"= c:\\DATEV\\PROGRAMM\\SWS\\LimaService.exe
"c:\\DATEV\\PROGRAMM\\Install\\ExecDll\\ExecDllExe.exe"=
"c:\\DATEV\\PROGRAMM\\Install\\Uninstal.exe"=
"c:\\DATEV\\PROGRAMM\\SWS\\LimaServer.exe"=
"c:\\DATEV\\PROGRAMM\\B0000195\\ADDMAN\\DATEVAddMan.exe"=
"c:\\Programme\\StarMoney 7.0\\ouservice\\StarMoneyOnlineUpdate.exe"=
"c:\\Programme\\StarMoney 7.0\\app\\StarMoney.exe"=
"c:\\DATEV\\PROGRAMM\\B0000398\\SiPaHost.exe"=
"c:\\DATEV\\PROGRAMM\\B0000391\\Datev.Security.Dokumentenschutz.exe"=
.
R0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [26.08.2009 06:29 40440]
R0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [31.03.2009 13:47 30200]
R0 oodisr;O&O DiskImage Snapshot/Restore Driver;c:\windows\system32\drivers\oodisr.sys [19.01.2009 23:11 95752]
R0 oodisrh;oodisrh;c:\windows\system32\drivers\oodisrh.sys [19.01.2009 23:11 28680]
R0 oodivd;O&O DiskImage VirtualDisk Driver;c:\windows\system32\drivers\oodivd.sys [19.01.2009 23:11 133640]
R0 oodivdh;oodivdh;c:\windows\system32\drivers\oodivdh.sys [19.01.2009 23:11 31240]
R1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [31.03.2009 13:48 79992]
R1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [31.03.2009 14:58 69112]
R1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [12.11.2010 18:31 40568]
R2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [27.08.2010 08:50 1506824]
R2 AVKService;G Data Scheduler;c:\programme\G DATA\TotalCare\AVK\AVKService.exe [27.08.2010 08:50 381448]
R2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G DATA\TotalCare\AVK\AVKWCtl.exe [27.08.2010 01:04 1554184]
R2 DATEV Logon Service;DATEV Logon Service;c:\datev\PROGRAMM\B0001364\DtvScSer.exe [03.09.2010 13:50 406112]
R2 Datev.Framework.RemoteServiceModel.EnablerService;DATEV DFL-Service-Manager;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 [?]
R2 DatevPrintService;DATEV Druckservice;c:\datev\PROGRAMM\B0001442\PSNTServ.exe [09.12.2011 01:20 79872]
R2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [31.03.2009 13:47 52216]
R2 KOBIL_MSDI;KOBIL_MSDI;c:\datev\PROGRAMM\B0000404\msdisrv.exe [25.08.2010 07:54 194144]
R2 msftesql$DATEV_CL_DE01;SQL Server-Volltextsuche (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe [26.03.2010 02:07 91992]
R2 MSSQL$DATEV_CL_DE01;SQL Server (DATEV_CL_DE01);c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe [10.12.2010 17:29 29293408]
R2 O&O DiskImage;O&O DiskImage;c:\programme\OO Software\DiskImage\oodiag.exe [19.01.2009 23:07 2094336]
R2 SC_Serv3D;SC_Serv3D;c:\windows\system32\drivers\d3_kafm.sys [19.07.2011 13:28 75320]
R2 SCardService;DATEV SmartCard Service;c:\datev\PROGRAMM\B0000347\ScMgmt\SCardService.exe [22.09.2010 16:47 292960]
R2 Sicherheitspaket-Dienst;Sicherheitspaket-Dienst;c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 --> c:\datev\PROGRAMM\B0000398\SiPaHostService.exe c:\datev\KONFIG\B0000398 [?]
R2 StarMoney 7.0 OnlineUpdate;StarMoney 7.0 OnlineUpdate;c:\programme\StarMoney 7.0\ouservice\StarMoneyOnlineUpdate.exe [11.11.2011 09:50 554160]
R3 GDFwSvc;G Data Personal Firewall;c:\programme\G DATA\TotalCare\Firewall\GDFwSvc.exe [27.08.2010 01:15 1613424]
R3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe [27.08.2010 00:39 457536]
S2 DVckService;DVckService;c:\datev\PROGRAMM\B0000150\ScServer\DVckService.exe [28.06.2011 08:18 2409056]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.02.2009 14:08 1684736]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.09.2012 12:50 4352]
S3 DATEV Update-Service;DATEV Update-Service;c:\datev\PROGRAMM\Install\DvInesASDSvc.Exe [25.07.2011 01:49 172640]
S3 Datev.Database.Conserve;DATEV Connection Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices.Messaging.CentralMessagingService;DATEV Messaging-Service;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 [?]
S3 Datev.Framework.RemoteServices;DATEV DFL Infrastruktur-Dienst;c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 --> c:\datev\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 [?]
S3 fwlanusb4;FRITZ!WLAN N/G;c:\windows\system32\drivers\fwlanusb4.sys [21.09.2012 12:49 926080]
S3 GDBackupSvc;G Data Backup Service;c:\programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe [27.08.2010 00:58 1498616]
S3 GDTunerSvc;G Data Tuner Service;c:\programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe [27.08.2010 01:38 960504]
S3 ZYA22_XP;ZyXEL 802.11a+b+g AG760 1211 Driver;c:\windows\system32\drivers\WlanAGXP.sys [02.04.2009 10:20 456704]
S4 WkSvW32.exe;WIBU-KEY Server;c:\programme\WIBUKEY\Server\WkSvW32.exe [01.04.2009 08:20 577536]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 78015133
*Deregistered* - 78015133
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-09-19 20:46	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 18:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\731db1o2.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - ExtSQL: !HIDDEN! 2009-09-02 20:53; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{557F4852-8868-44dd-B5E9-9890AC4B1FD5} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-StartSpeedy - c:\datev\PROGRAMM\B0001356\mIDentity.exe
AddRemove-EPSON Photo Print - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-21 14:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql$DATEV_CL_DE01]
"ImagePath"="\"c:\programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe\" -s:MSSQL.2 -f:DATEV_CL_DE01"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
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
.
Zeit der Fertigstellung: 2013-01-21  14:21:12
ComboFix-quarantined-files.txt  2013-01-21 13:21
.
Vor Suchlauf: 18 Verzeichnis(se), 237.590.165.504 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 237.956.813.312 Bytes frei
.
- - End Of File - - 7C29693680DF32715DE8EBB3A01CCB1C
         
Hier das Log von ComboFix.

Alt 21.01.2013, 13:56   #12
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.01.2013, 14:50   #13
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Kann ich denn Malwarebytes auch offline updaten? Da der PC ja nicht ans Internet angeschlossen ist.

Ok, sorry für Doppelpost, habs hingekriegt. Malwarebytes keine Funde, habe vollständig gescannt. Wie gehts weiter?

Alt 21.01.2013, 17:44   #14
markusg
/// Malware-holic
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



kannst den pc auch ans netz bringen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 21.01.2013, 18:02   #15
Oliver28
 
Bebloh (DHL-Mail) - Standard

Bebloh (DHL-Mail)



Zitat:
Zitat von markusg Beitrag anzeigen
kannst den pc auch ans netz bringen.
Ok.
Wie gesagt, Malwarebytes ohne Funde. Gibts noch was zu tun?

Antwort

Themen zu Bebloh (DHL-Mail)
anhang, anmeldung, betrieb, boot-cd, brauch, debugger, dhl mail, dhl-mail, ebanking, einfach, entfernt, frage, fragen, g-data, gelöscht, guten, home, mail, mbam, melde, meldung, offline, online, onlinebanking, problem, rechner, registry, suche, verändern, warum



Ähnliche Themen: Bebloh (DHL-Mail)


  1. TR/Spy.ZBot.ajoumea TR/Rogue.AI.4 TR/Spy.Bebloh.EB.85
    Plagegeister aller Art und deren Bekämpfung - 15.11.2015 (8)
  2. TR/Spy.ZBot.ajoumea TR/Rogue.AI.4 TR/Spy.Bebloh.EB.85 auf iPAD2 - Fake oder doch Schlimmeres zu befürchten ?
    Smartphone, Tablet & Handy Security - 12.11.2015 (4)
  3. Win32/Spy.Bebloh.K Trojaner
    Plagegeister aller Art und deren Bekämpfung - 15.10.2014 (3)
  4. Bebloh Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.10.2014 (7)
  5. Trojan.bebloh und Angriff durch Trojan.Ransomlock.P Activity 2
    Log-Analyse und Auswertung - 09.07.2013 (8)
  6. Trojaner TR/Spy.BEBLOH.EB.53
    Plagegeister aller Art und deren Bekämpfung - 29.06.2013 (15)
  7. Avira hat "TR/Rogue.KD.853855.1", TR/SPY.Bebloh.P, TR/Agent.12697, TR/PSW.Zbot.347 -> was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (21)
  8. Trojaner Bebloh eingefangen oder nicht?
    Log-Analyse und Auswertung - 11.02.2013 (38)
  9. Trojan. Bebloh
    Log-Analyse und Auswertung - 11.01.2013 (5)
  10. Trojaner BEBLOH - Dateinen wild umbenannt und verschlüsselt - HILFE wie bekomme ich an meine Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  11. TR/Spy.Bebloh.A.59 TR und */Drop.Bebloh.7344 */Injector.AOC.3 und Abstürze
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (33)
  12. Malwarebytes meldung "Security.Hijack" evtl. TrojanSpy:Win32/Bebloh.A infektion
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (19)
  13. Nackter Desktop angezeigt - (Ursprüngliche Ursache TR/Spy.Bebloh.A.37 ?)
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (5)
  14. TR/Dldr.Injecter.AI, TR/Spy.Agent.bejq, TR/Spy.Bebloh.A.35
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (8)
  15. URL Zone, url zone, spy.bebloh.A.5, browsy.A, crypr.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2009 (3)
  16. MBAM 6 Funde - Trojaner TR/Spy.Bebloh.A.14
    Log-Analyse und Auswertung - 07.10.2009 (12)
  17. Kann mir jemand bei TR/Spy.Bebloh.G helfen?
    Log-Analyse und Auswertung - 04.06.2009 (1)

Zum Thema Bebloh (DHL-Mail) - Guten Tag, meine Eltern haben bedauernderweise einen Anhang einer Mail geöffnet. (gefakte DHL Mail) Sobald ich davon erfahren hab, hab ich den Rechner vom Netz getrennt. Das ist nun schon - Bebloh (DHL-Mail)...
Archiv
Du betrachtest: Bebloh (DHL-Mail) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.