| |
| |||||||
Log-Analyse und Auswertung: Trojaner bds zeroaccess.gen eingefangenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
30.01.2013, 17:10
| #1 |
 |  Trojaner bds zeroaccess.gen eingefangen Hallo, dies ist mein erster Beitrag hier im Board. Ich hoffe, dass man mir hier helfen kann! Ich war heute gegen 14.30 auf einer Internetseite, auf der man nachschauen kann, welche Musik am heutigen Tage neu erschienen ist. Nach Aufruf dieser Seite meldete sich Avira mit der Meldung, dass der Trojaner bds/zeroaccess.gen gefunden wurde. Nun habe ich auf meinem Bildschirm eine Warnung, dass mein PC gesperrt wurde und ich 100 Euro zahlen muss, was natürlich Blödsinn ist. Virenscanner und andere Sachen werden automatisch unterbrochen nach einer Zeit, abgesicherter Modus lässt sich auch nicht aktivieren, da der PC dann automatisch wieder runterfährt, nachdem ich diesen aktiviert habe. Ich habe zwar mittlerweile Zugriff auf meinen Desktop, da ich im Task-Manager den Explorer-Prozess beendet habe und einen neuen erstellt habe, allerdings werde ich nach dem nächsten Hochfahren wieder einen Bildschirm mit der Warnung und keinen Zugriff auf meinen Desktop haben, bis ich wieder den Explorer-Prozess lösche und neu erstelle. Ich hoffe, ihr könnt mir helfen! Danke im Voraus! LG dennisfcb |
|
30.01.2013, 19:57
| #2 |
| /// TB-Ausbilder   | Trojaner bds zeroaccess.gen eingefangen Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass du Hilfe von einem ausgebildeten Helfer bekommst. Ich bedanke mich für deine Geduld.  Was hast du für ein Windows? XP, Vista, 7? Ist es ein 32-bit oder 64-bit?
__________________ |
|
30.01.2013, 20:06
| #3 |
| | Trojaner bds zeroaccess.gen eingefangen Alles klar, dann weiß ich Bescheid, danke dir!
__________________Ich weiß inzwischen woher es kommt, der Trojaner hat sich wohl im Java eingenistet, die habe ich wohl ziemlich vergessen zu updaten meine jetzige Version. Vielleicht ist das ja hilfreich! LG |
|
30.01.2013, 20:12
| #4 |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen Hi, ja, alte Java-Versionen werden oft ausgenutzt, um Malware zu installieren. Um das Update kümmern wir uns dann zum Schluss. Zuerst müssen wir die Dinger aber mal finden und loswerden, die Meldung von Avira tönt nämlich nicht so gut. Beantworte mir bitte folgende Frage, bevor ich loslegen kann: Was hast du für ein Windows? XP, Vista, 7? Ist es ein 32-bit oder 64-bit?
__________________ cheers, Leo |
|
31.01.2013, 01:11
| #5 |
| | Trojaner bds zeroaccess.gen eingefangen Ich habe Windows 7 Ultimate 64-Bit. Was heißt denn "tönt nicht so gut"? Ist der Trojaner gefährlich? LG |
|
31.01.2013, 15:15
| #6 | |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen Hallo dennisfcb und Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten. Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich. Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist. Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.  Hinweise zum Ablauf
Zitat:
Aber lass uns hier nicht spekulieren, sondern nachschauen: Schritt 1 Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!). Schliesse den USB Stick an den infizierten Rechner an. Du musst das System nun in die System Reparatur Option booten: Variante 1 - Über den Boot Manager Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
Bitte poste in deiner nächsten Antwort:
__________________ --> Trojaner bds zeroaccess.gen eingefangen |
|
01.02.2013, 10:46
| #7 |
| | Trojaner bds zeroaccess.gen eingefangen Schonmal danke für die Hilfe! Ich bin leider erst morgen gegen mittag am Computer zuhause, dann werde ich den Log posten! LG |
|
01.02.2013, 12:08
| #8 |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen ok, danke für die Mitteilung.
__________________ cheers, Leo |
|
01.02.2013, 13:36
| #9 |
| | Trojaner bds zeroaccess.gen eingefangen Hallo, ich habe nun doch noch Zeit gefunden. Hier ist das Ergebnis des Scans Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 01-02-2013 03
Ran by SYSTEM at 01-02-2013 13:30:49
Running from I:\
Windows 7 Ultimate (X64) OS Language: German Standard
The current controlset is ControlSet001
==================== Registry (Whitelisted) ===================
HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2010-09-30] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [311296 2010-05-04] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [] [x]
HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [348664 2012-08-08] (Avira Operations GmbH & Co. KG)
HKLM-x32\...\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [AVMWlanClient] C:\Program Files (x86)\avmwlanstick\wlangui.exe [2105344 2010-10-22] (AVM Berlin)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [946352 2012-12-18] (Adobe Systems Incorporated)
HKU\Dennis\...\Run: [KSS] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" /autorun [202296 2012-04-25] (Kaspersky Lab ZAO)
HKU\Dennis\...\Winlogon: [Shell] explorer.exe,C:\Users\Dennis\AppData\Roaming\skype.dat [56832 2011-11-17] ()
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$0fa14cb40e0202cf18556cd2710fa41f\n. ATTENTION! ====> ZeroAccess
==================== Services (Whitelisted) ===================
2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-09] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-09] (Avira Operations GmbH & Co. KG)
2 AntiVirWebService; "C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE" [465360 2012-05-09] (Avira Operations GmbH & Co. KG)
2 AVM WLAN Connection Service; C:\Program Files (x86)\avmwlanstick\WlanNetService.exe [376832 2010-10-22] (AVM Berlin)
2 KSS; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" -r [202296 2012-04-25] (Kaspersky Lab ZAO)
2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [76888 2012-05-23] ()
2 wDokanMounter; C:\Program Files (x86)\Wuala Dokan\mounter.exe [11776 2010-08-11] ()
2 sfrem01; C:\Windows\System32\sfrem01.exe svc [x]
==================== Drivers (Whitelisted) =====================2 avgntflt; C:\Windows\System32\Drivers\avgntflt.sys [98848 2012-05-09] (Avira GmbH)
1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [132832 2012-05-09] (Avira GmbH)
1 avkmgr; C:\Windows\System32\Drivers\avkmgr.sys [27760 2011-10-19] (Avira GmbH)
3 avmeject; C:\Windows\System32\Drivers\avmeject.sys [14120 2010-10-22] (AVM Berlin)
1 cbfs3; C:\Windows\System32\Drivers\cbfs3.sys [352144 2012-04-09] (EldoS Corporation)
3 FWLANUSB; C:\Windows\System32\Drivers\FWLANUSB.sys [460800 2009-03-20] (AVM GmbH)
0 sfsync04; C:\Windows\System32\Drivers\sfsync04.sys [78208 2006-08-11] (Protection Technology (StarForce))
0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-10-22] (Duplex Secure Ltd.)
2 wDokan; C:\Windows\System32\Drivers\wDokan.sys [86392 2010-08-11] ()
3 ALSysIO; \??\C:\Users\Dennis\AppData\Local\Temp\ALSysIO64.sys [x]
3 Synth3dVsc; C:\Windows\System32\drivers\synth3dvsc.sys [x]
3 tsusbhub; C:\Windows\System32\drivers\tsusbhub.sys [x]
3 VGPU; C:\Windows\System32\drivers\rdvgkmd.sys [x]
==================== NetSvcs (Whitelisted) ====================
==================== One Month Created Files and Folders ========
2013-01-30 16:23 - 2013-01-30 16:23 - 00001077 ____A C:\Users\Dennis\Desktop\Kaspersky Security Scan.lnk
2013-01-30 16:22 - 2013-01-30 16:22 - 00000000 ____D C:\Users\All Users\Kaspersky Lab
2013-01-30 16:22 - 2013-01-30 16:22 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab
2013-01-30 16:20 - 2013-01-30 16:20 - 00179984 ____A (Kaspersky Lab) C:\Users\Dennis\Desktop\kss12.0.1.117mlg_en-de_ru-de_fr-de_de-de.exe
2013-01-30 14:46 - 2013-02-01 13:22 - 00000004 ____A C:\Users\Dennis\AppData\Roaming\skype.ini
2013-01-30 13:54 - 2013-01-30 13:54 - 00000618 ____A C:\Windows\PFRO.log
2013-01-29 17:41 - 2013-01-29 17:41 - 00000000 ____D C:\Users\Dennis\4.0
2013-01-29 17:41 - 2013-01-29 17:41 - 00000000 ____D C:\Users\Dennis\.tfo4
2013-01-29 17:38 - 2013-01-29 17:38 - 00002019 ____A C:\Users\Public\Desktop\Adobe Reader XI.lnk
2013-01-29 17:38 - 2013-01-29 17:38 - 00000000 ____D C:\Program Files (x86)\Adobe
2013-01-26 18:50 - 2013-01-26 18:50 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-01-25 06:23 - 2013-01-25 06:23 - 00042880 ____A C:\Windows\SysWOW64\xfcodec.dll
2013-01-25 06:23 - 2013-01-25 06:23 - 00028544 ____A C:\Windows\System32\xfcodec64.dll
2013-01-19 16:38 - 2013-01-19 16:39 - 00000000 ____D C:\Users\Dennis\AppData\Local\Mozilla Firefox
2013-01-15 17:42 - 2013-01-04 16:53 - 09060864 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-01-15 17:42 - 2013-01-04 16:32 - 06029824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-01-11 16:54 - 2010-06-02 04:55 - 00527192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XAudio2_7.dll
2013-01-11 16:54 - 2010-06-02 04:55 - 00239960 ____A (Microsoft Corporation) C:\Windows\SysWOW64\xactengine3_7.dll
2013-01-11 16:54 - 2010-06-02 04:55 - 00074072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\XAPOFX1_5.dll
2013-01-11 16:54 - 2010-05-26 11:41 - 02106216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\D3DCompiler_43.dll
2013-01-11 16:54 - 2010-05-26 11:41 - 01998168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\D3DX9_43.dll
2013-01-11 16:54 - 2010-05-26 11:41 - 01868128 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3dcsx_43.dll
2013-01-11 16:54 - 2010-05-26 11:41 - 00470880 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3dx10_43.dll
2013-01-11 16:54 - 2010-05-26 11:41 - 00248672 ____A (Microsoft Corporation) C:\Windows\SysWOW64\d3dx11_43.dll
2013-01-11 16:44 - 2013-01-11 16:44 - 00002191 ____A C:\Users\Dennis\Desktop\Need for Speed Most Wanted.lnk
2013-01-11 16:42 - 2013-01-11 16:42 - 00000000 ____D C:\Program Files (x86)\hulumuluch
2013-01-10 17:27 - 2012-12-07 14:20 - 00441856 ____A (Microsoft Corporation) C:\Windows\System32\Wpc.dll
2013-01-10 17:27 - 2012-12-07 14:15 - 02746368 ____A (Microsoft Corporation) C:\Windows\System32\gameux.dll
2013-01-10 17:27 - 2012-12-07 13:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\SysWOW64\Wpc.dll
2013-01-10 17:27 - 2012-12-07 13:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\gameux.dll
2013-01-10 17:27 - 2012-12-07 12:20 - 00045568 ____A (Microsoft) C:\Windows\System32\oflc-nz.rs
2013-01-10 17:27 - 2012-12-07 12:20 - 00044544 ____A (Microsoft) C:\Windows\System32\pegibbfc.rs
2013-01-10 17:27 - 2012-12-07 12:20 - 00043520 ____A (Microsoft) C:\Windows\System32\csrr.rs
2013-01-10 17:27 - 2012-12-07 12:20 - 00030720 ____A (Microsoft) C:\Windows\System32\usk.rs
2013-01-10 17:27 - 2012-12-07 12:20 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-pt.rs
2013-01-10 17:27 - 2012-12-07 12:19 - 00046592 ____A (Microsoft) C:\Windows\System32\fpb.rs
2013-01-10 17:27 - 2012-12-07 12:19 - 00040960 ____A (Microsoft) C:\Windows\System32\cob-au.rs
2013-01-10 17:27 - 2012-12-07 12:19 - 00021504 ____A (Microsoft) C:\Windows\System32\grb.rs
2013-01-10 17:27 - 2012-12-07 12:19 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi.rs
2013-01-10 17:27 - 2012-12-07 12:19 - 00015360 ____A (Microsoft) C:\Windows\System32\djctq.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00046592 ____A (Microsoft) C:\Windows\SysWOW64\fpb.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00045568 ____A (Microsoft) C:\Windows\SysWOW64\oflc-nz.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00044544 ____A (Microsoft) C:\Windows\SysWOW64\pegibbfc.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00043520 ____A (Microsoft) C:\Windows\SysWOW64\csrr.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00040960 ____A (Microsoft) C:\Windows\SysWOW64\cob-au.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00030720 ____A (Microsoft) C:\Windows\SysWOW64\usk.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00021504 ____A (Microsoft) C:\Windows\SysWOW64\grb.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-pt.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi.rs
2013-01-10 17:27 - 2012-12-07 11:46 - 00015360 ____A (Microsoft) C:\Windows\SysWOW64\djctq.rs
2013-01-10 17:27 - 2012-11-22 06:44 - 00800768 ____A (Microsoft Corporation) C:\Windows\System32\usp10.dll
2013-01-10 17:27 - 2012-11-22 05:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\usp10.dll
2013-01-10 17:27 - 2012-11-20 06:48 - 00307200 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2013-01-10 17:27 - 2012-11-20 05:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2013-01-10 17:27 - 2012-11-09 06:45 - 00750592 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-01-10 17:27 - 2012-11-09 05:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-01-10 17:27 - 2012-11-01 06:43 - 02002432 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2013-01-10 17:27 - 2012-11-01 06:43 - 01882624 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll
2013-01-10 17:27 - 2012-11-01 05:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml6.dll
2013-01-10 17:27 - 2012-11-01 05:47 - 01236992 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml3.dll
2013-01-10 17:26 - 2012-12-07 12:20 - 00023552 ____A (Microsoft) C:\Windows\System32\oflc.rs
2013-01-10 17:26 - 2012-12-07 12:20 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-fi.rs
2013-01-10 17:26 - 2012-12-07 12:19 - 00055296 ____A (Microsoft) C:\Windows\System32\cero.rs
2013-01-10 17:26 - 2012-12-07 12:19 - 00051712 ____A (Microsoft) C:\Windows\System32\esrb.rs
2013-01-10 17:26 - 2012-12-07 11:46 - 00055296 ____A (Microsoft) C:\Windows\SysWOW64\cero.rs
2013-01-10 17:26 - 2012-12-07 11:46 - 00051712 ____A (Microsoft) C:\Windows\SysWOW64\esrb.rs
2013-01-10 17:26 - 2012-12-07 11:46 - 00023552 ____A (Microsoft) C:\Windows\SysWOW64\oflc.rs
2013-01-10 17:26 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-fi.rs
2013-01-10 17:26 - 2012-11-30 06:45 - 00362496 ____A (Microsoft Corporation) C:\Windows\System32\wow64win.dll
2013-01-10 17:26 - 2012-11-30 06:45 - 00243200 ____A (Microsoft Corporation) C:\Windows\System32\wow64.dll
2013-01-10 17:26 - 2012-11-30 06:45 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-01-10 17:26 - 2012-11-30 06:45 - 00013312 ____A (Microsoft Corporation) C:\Windows\System32\wow64cpu.dll
2013-01-10 17:26 - 2012-11-30 06:43 - 00016384 ____A (Microsoft Corporation) C:\Windows\System32\ntvdm64.dll
2013-01-10 17:26 - 2012-11-30 06:41 - 01161216 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2013-01-10 17:26 - 2012-11-30 06:41 - 00424448 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 06:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:54 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-01-10 17:26 - 2012-11-30 05:53 - 01114112 ____A (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2013-01-10 17:26 - 2012-11-30 05:53 - 00274944 ____A (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 04:23 - 00338432 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe
2013-01-10 17:26 - 2012-11-30 03:44 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-01-10 17:26 - 2012-11-30 03:44 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-01-10 17:26 - 2012-11-30 03:44 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-01-10 17:26 - 2012-11-30 03:44 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-01-10 17:26 - 2012-11-30 03:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 03:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 03:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 03:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2013-01-10 17:26 - 2012-11-30 00:17 - 00420064 ____A C:\Windows\SysWOW64\locale.nls
2013-01-10 17:26 - 2012-11-30 00:15 - 00420064 ____A C:\Windows\System32\locale.nls
2013-01-10 17:26 - 2012-11-23 04:26 - 03149824 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-01-10 17:26 - 2012-11-23 04:13 - 00068608 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe
2013-01-09 18:13 - 2013-01-29 18:08 - 00000000 ____D C:\Users\Dennis\Desktop\musik
2013-01-08 20:30 - 2013-02-01 13:22 - 00010360 ____A C:\Windows\setupact.log
2013-01-08 20:30 - 2013-01-08 20:30 - 00000000 ____A C:\Windows\setuperr.log
==================== One Month Modified Files and Folders =======
2013-02-01 13:28 - 2013-02-01 13:28 - 00000000 ____D C:\FRST
2013-02-01 13:22 - 2013-01-30 14:46 - 00000004 ____A C:\Users\Dennis\AppData\Roaming\skype.ini
2013-02-01 13:22 - 2013-01-08 20:30 - 00010360 ____A C:\Windows\setupact.log
2013-02-01 13:22 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-30 20:30 - 2011-02-10 11:36 - 02037232 ____A C:\Windows\WindowsUpdate.log
2013-01-30 19:47 - 2012-04-11 14:34 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-01-30 18:57 - 2011-09-05 20:46 - 00001142 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1027476448-1133028917-2562891829-1001UA.job
2013-01-30 18:57 - 2011-09-05 20:46 - 00001120 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1027476448-1133028917-2562891829-1001Core.job
2013-01-30 16:23 - 2013-01-30 16:23 - 00001077 ____A C:\Users\Dennis\Desktop\Kaspersky Security Scan.lnk
2013-01-30 16:22 - 2013-01-30 16:22 - 00000000 ____D C:\Users\All Users\Kaspersky Lab
2013-01-30 16:22 - 2013-01-30 16:22 - 00000000 ____D C:\Program Files (x86)\Kaspersky Lab
2013-01-30 16:20 - 2013-01-30 16:20 - 00179984 ____A (Kaspersky Lab) C:\Users\Dennis\Desktop\kss12.0.1.117mlg_en-de_ru-de_fr-de_de-de.exe
2013-01-30 15:39 - 2009-07-14 05:45 - 00014016 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-01-30 15:39 - 2009-07-14 05:45 - 00014016 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-01-30 15:38 - 2009-07-14 18:58 - 00654150 ____A C:\Windows\System32\perfh007.dat
2013-01-30 15:38 - 2009-07-14 18:58 - 00130022 ____A C:\Windows\System32\perfc007.dat
2013-01-30 15:38 - 2009-07-14 06:13 - 01498742 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-30 15:16 - 2011-05-17 15:35 - 00000410 _RASH C:\Users\All Users\ntuser.pol
2013-01-30 13:54 - 2013-01-30 13:54 - 00000618 ____A C:\Windows\PFRO.log
2013-01-29 19:05 - 2011-11-20 18:38 - 00000072 ____A C:\Users\Public\LMDebug.log
2013-01-29 19:01 - 2010-10-22 12:35 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Adobe
2013-01-29 18:08 - 2013-01-09 18:13 - 00000000 ____D C:\Users\Dennis\Desktop\musik
2013-01-29 17:41 - 2013-01-29 17:41 - 00000000 ____D C:\Users\Dennis\4.0
2013-01-29 17:41 - 2013-01-29 17:41 - 00000000 ____D C:\Users\Dennis\.tfo4
2013-01-29 17:41 - 2010-10-21 17:36 - 00000000 ____D C:\users\Dennis
2013-01-29 17:39 - 2010-10-25 17:20 - 00000000 ____D C:\Users\All Users\Adobe
2013-01-29 17:38 - 2013-01-29 17:38 - 00002019 ____A C:\Users\Public\Desktop\Adobe Reader XI.lnk
2013-01-29 17:38 - 2013-01-29 17:38 - 00000000 ____D C:\Program Files (x86)\Adobe
2013-01-29 17:37 - 2010-10-25 17:21 - 00000000 ____D C:\Users\Dennis\AppData\Local\Adobe
2013-01-27 23:04 - 2010-10-22 12:40 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Xfire
2013-01-27 15:27 - 2010-12-23 16:49 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Skype
2013-01-27 15:06 - 2010-10-23 13:29 - 00281768 ____A C:\Windows\SysWOW64\PnkBstrB.xtr
2013-01-27 15:06 - 2010-10-23 13:29 - 00281768 ____A C:\Windows\SysWOW64\PnkBstrB.exe
2013-01-27 15:05 - 2010-10-23 13:29 - 00269288 ____A C:\Windows\SysWOW64\PnkBstrB.ex0
2013-01-27 14:53 - 2010-10-22 12:39 - 00000000 ____D C:\Users\All Users\Xfire
2013-01-26 18:50 - 2013-01-26 18:50 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-01-26 18:50 - 2010-12-23 16:49 - 00000000 ____D C:\Users\All Users\Skype
2013-01-26 12:43 - 2010-10-22 12:39 - 00000000 ____D C:\Program Files (x86)\Xfire
2013-01-25 06:23 - 2013-01-25 06:23 - 00042880 ____A C:\Windows\SysWOW64\xfcodec.dll
2013-01-25 06:23 - 2013-01-25 06:23 - 00028544 ____A C:\Windows\System32\xfcodec64.dll
2013-01-19 16:39 - 2013-01-19 16:38 - 00000000 ____D C:\Users\Dennis\AppData\Local\Mozilla Firefox
2013-01-19 15:07 - 2010-10-22 12:29 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\ICQ
2013-01-15 17:36 - 2012-07-04 15:23 - 00000000 ____D C:\Users\Dennis\Desktop\Die Drei Fragezeichen
2013-01-14 18:45 - 2010-10-25 08:57 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\Media Player Classic
2013-01-11 18:25 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-01-11 16:55 - 2010-11-19 13:38 - 00000000 ____D C:\Users\Dennis\Documents\Criterion Games
2013-01-11 16:44 - 2013-01-11 16:44 - 00002191 ____A C:\Users\Dennis\Desktop\Need for Speed Most Wanted.lnk
2013-01-11 16:42 - 2013-01-11 16:42 - 00000000 ____D C:\Program Files (x86)\hulumuluch
2013-01-11 15:43 - 2009-07-14 05:45 - 00413624 ____A C:\Windows\System32\FNTCACHE.DAT
2013-01-10 22:17 - 2010-10-22 16:07 - 00000000 ____D C:\Users\All Users\Microsoft Help
2013-01-10 22:09 - 2010-11-17 11:27 - 67599240 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-01-10 21:58 - 2010-12-23 22:31 - 00000000 ____D C:\Users\Dennis\AppData\Roaming\TeamViewer
2013-01-10 20:51 - 2012-10-11 23:25 - 00000000 ____D C:\Users\Dennis\Desktop\Der Herr der Ringe
2013-01-10 17:47 - 2012-04-11 14:34 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-01-10 17:47 - 2011-05-18 21:43 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-01-08 20:30 - 2013-01-08 20:30 - 00000000 ____A C:\Windows\setuperr.log
2013-01-04 16:53 - 2013-01-15 17:42 - 09060864 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-01-04 16:32 - 2013-01-15 17:42 - 06029824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-1027476448-1133028917-2562891829-1001\$0fa14cb40e0202cf18556cd2710fa41f
ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$0fa14cb40e0202cf18556cd2710fa41f
==================== Known DLLs (Whitelisted) =================
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2012-11-11 20:07:08
Restore point made on: 2012-11-15 23:35:27
Restore point made on: 2012-11-20 20:23:08
Restore point made on: 2012-11-27 17:56:21
Restore point made on: 2012-11-27 18:03:30
Restore point made on: 2012-11-28 21:59:57
Restore point made on: 2012-12-04 17:36:05
Restore point made on: 2012-12-10 12:32:06
Restore point made on: 2012-12-12 19:06:45
Restore point made on: 2012-12-20 15:35:56
Restore point made on: 2012-12-22 01:29:44
Restore point made on: 2013-01-05 18:45:27
Restore point made on: 2013-01-08 21:46:08
Restore point made on: 2013-01-10 22:06:42
Restore point made on: 2013-01-11 16:54:23
Restore point made on: 2013-01-15 17:40:28
Restore point made on: 2013-01-15 19:33:00
Restore point made on: 2013-01-18 14:32:44
Restore point made on: 2013-01-23 17:23:56
Restore point made on: 2013-01-29 17:23:35
Restore point made on: 2013-01-30 15:25:16
Restore point made on: 2013-01-30 15:31:20
Restore point made on: 2013-01-30 17:34:16
==================== Memory info ===========================
Percentage of memory in use: 14%
Total physical RAM: 4094.3 MB
Available physical RAM: 3506.66 MB
Total Pagefile: 4092.45 MB
Available Pagefile: 3484.68 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB
==================== Partitions =============================
1 Drive c: () (Fixed) (Total:576.16 GB) (Free:327.15 GB) NTFS ==>[Drive with boot components (obtained from BCD)]
2 Drive d: (RECOVER) (Fixed) (Total:20 GB) (Free:9.97 GB) FAT32
7 Drive i: (XORO_PVR) (Fixed) (Total:74.5 GB) (Free:19.95 GB) FAT32
8 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 596 GB 1024 KB
Datentr„ger 1 Kein Medium 0 B 0 B
Datentr„ger 2 Kein Medium 0 B 0 B
Datentr„ger 3 Kein Medium 0 B 0 B
Datentr„ger 4 Online 74 GB 7168 KB
Partitions of Disk 0:
===============
Datentr„ger-ID: D38534DE
Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 576 GB 1024 KB
Partition 0 Erweitert 20 GB 576 GB
Partition 2 Logisch 20 GB 576 GB
==================================================================================
Disk: 0
Partition 1
Typ : 07
Versteckt: Nein
Aktiv : Ja
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 C NTFS Partition 576 GB Fehlerfre
=========================================================
Disk: 0
Partition 2
Typ : 0B
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D RECOVER FAT32 Partition 20 GB Fehlerfre
=========================================================
Disk: 0
Partition 2
Typ : 0B
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 D RECOVER FAT32 Partition 20 GB Fehlerfre
=========================================================
Partitions of Disk 4:
===============
Datentr„ger-ID: 874FC960
Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 0 Erweitert 74 GB 8032 KB
Partition 1 Logisch 74 GB 8064 KB
==================================================================================
Disk: 4
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 6 I XORO_PVR FAT32 Partition 74 GB Fehlerfre
=========================================================
Disk: 4
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Nein
Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 6 I XORO_PVR FAT32 Partition 74 GB Fehlerfre
=========================================================
Last Boot: 2013-01-24 19:56
==================== End Of Log =============================
|
|
01.02.2013, 15:30
| #10 | |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen Hi, da ist tatsächlich noch mehr drauf als der Sperrbildschirm. Wir nehmen zuerst diesen weg und kümmern uns danach um den Rest. Schritt 1 Drücke auf einem Zweitrechner bitte die  + R Taste und schreibe notepad in das Ausführen Fenster.Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument: Code:
ATTFilter HKU\Dennis\...\Winlogon: [Shell] explorer.exe,C:\Users\Dennis\AppData\Roaming\skype.dat [56832 2011-11-17] ()
C:\Users\Dennis\AppData\Roaming\skype.dat
2013-02-01 13:22 - 2013-01-30 14:46 - 00000004 ____A C:\Users\Dennis\AppData\Roaming\skype.ini
Danach versuch wieder in den normalen Modus zu booten und die weiteren Schritte dort auszuführen. Schritt 2 Lade dir TFC (von Oldtimer) herunter und speichere es auf den Desktop.
Schritt 3 Warnung für Mitleser: Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
|
02.02.2013, 00:52
| #11 |
| | Trojaner bds zeroaccess.gen eingefangen Fixlog Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 01-02-2013 03
Ran by SYSTEM at 2013-02-01 23:47:39 Run:1
Running from I:\
==============================================
HKEY_USERS\Dennis\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
C:\Users\Dennis\AppData\Roaming\skype.dat moved successfully.
C:\Users\Dennis\AppData\Roaming\skype.ini moved successfully.
==== End of Fixlog ====
Combofix-Log Code:
ATTFilter ComboFix 13-02-01.04 - Dennis 02.02.2013 0:00.1.2 - x64
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.49.1031.18.4094.2800 [GMT 1:00]
ausgeführt von:: c:\users\Dennis\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Dennis\4.0
D:\Autorun.inf
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-01-01 bis 2013-02-01 ))))))))))))))))))))))))))))))
.
.
2013-02-01 12:28 . 2013-02-01 12:28 -------- d-----w- C:\FRST
2013-01-30 15:22 . 2013-01-30 15:22 -------- d-----w- c:\programdata\Kaspersky Lab
2013-01-30 15:22 . 2013-01-30 15:22 -------- d-----w- c:\program files (x86)\Kaspersky Lab
2013-01-29 16:41 . 2013-01-29 16:41 -------- d-----w- c:\users\Dennis\.tfo4
2013-01-29 16:23 . 2013-01-08 05:32 9161176 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{7E82550F-24B9-4E20-B0D6-EBF10F9FA257}\mpengine.dll
2013-01-26 17:50 . 2013-01-26 17:50 -------- d-----w- c:\program files (x86)\Common Files\Skype
2013-01-26 17:50 . 2013-01-26 17:50 -------- d-----r- c:\program files (x86)\Skype
2013-01-25 05:23 . 2013-01-25 05:23 42880 ----a-w- c:\windows\SysWow64\xfcodec.dll
2013-01-25 05:23 . 2013-01-25 05:23 28544 ----a-w- c:\windows\system32\xfcodec64.dll
2013-01-19 15:38 . 2013-01-19 15:39 -------- d-----w- c:\users\Dennis\AppData\Local\Mozilla Firefox
2013-01-15 16:42 . 2013-01-04 15:53 9060864 ----a-w- c:\windows\system32\mshtml.dll
2013-01-11 15:54 . 2010-06-02 03:55 74072 ----a-w- c:\windows\SysWow64\XAPOFX1_5.dll
2013-01-11 15:54 . 2010-06-02 03:55 527192 ----a-w- c:\windows\SysWow64\XAudio2_7.dll
2013-01-11 15:54 . 2010-06-02 03:55 239960 ----a-w- c:\windows\SysWow64\xactengine3_7.dll
2013-01-11 15:54 . 2010-05-26 10:41 2106216 ----a-w- c:\windows\SysWow64\D3DCompiler_43.dll
2013-01-11 15:54 . 2010-05-26 10:41 1868128 ----a-w- c:\windows\SysWow64\d3dcsx_43.dll
2013-01-11 15:54 . 2010-05-26 10:41 470880 ----a-w- c:\windows\SysWow64\d3dx10_43.dll
2013-01-11 15:54 . 2010-05-26 10:41 248672 ----a-w- c:\windows\SysWow64\d3dx11_43.dll
2013-01-11 15:54 . 2010-05-26 10:41 1998168 ----a-w- c:\windows\SysWow64\D3DX9_43.dll
2013-01-11 15:42 . 2013-01-11 15:42 -------- d-----w- c:\program files (x86)\hulumuluch
2013-01-10 16:26 . 2012-12-07 11:20 23552 ----a-w- c:\windows\system32\oflc.rs
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-27 14:06 . 2010-10-23 12:29 281768 ----a-w- c:\windows\SysWow64\PnkBstrB.xtr
2013-01-27 14:06 . 2010-10-23 12:29 281768 ----a-w- c:\windows\SysWow64\PnkBstrB.exe
2013-01-27 14:05 . 2010-10-23 12:29 269288 ----a-w- c:\windows\SysWow64\PnkBstrB.ex0
2013-01-10 21:09 . 2010-11-17 10:27 67599240 ----a-w- c:\windows\system32\MRT.exe
2013-01-10 16:47 . 2012-04-11 13:34 697864 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-01-10 16:47 . 2011-05-18 20:43 74248 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-12-16 17:11 . 2012-12-22 00:29 46080 ----a-w- c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-22 00:29 367616 ----a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-22 00:29 295424 ----a-w- c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-22 00:29 34304 ----a-w- c:\windows\SysWow64\atmlib.dll
2012-11-30 04:45 . 2013-01-10 16:26 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2012-11-12 12:28 . 2012-12-12 16:55 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2012-11-12 11:52 . 2012-12-12 16:55 1638912 ----a-w- c:\windows\SysWow64\mshtml.tlb
2012-11-09 05:45 . 2012-12-12 16:56 2048 ----a-w- c:\windows\system32\tzres.dll
2012-11-09 04:42 . 2012-12-12 16:56 2048 ----a-w- c:\windows\SysWow64\tzres.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1EldosIconOverlay]
@="{646F8197-A414-4F44-8736-5AC840D93AA1}"
[HKEY_CLASSES_ROOT\CLSID\{646F8197-A414-4F44-8736-5AC840D93AA1}]
2012-04-09 14:27 158224 ----a-w- c:\windows\SysWOW64\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2012-04-09 14:27 158224 ----a-w- c:\windows\SysWOW64\CbFsMntNtf3.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KSS"="c:\program files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-09-30 98304]
"ATICustomerCare"="c:\program files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe" [2010-05-04 311296]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"AVMWlanClient"="c:\program files (x86)\avmwlanstick\wlangui.exe" [2010-10-22 2105344]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-01-08 161536]
R3 ALSysIO;ALSysIO;c:\users\Dennis\AppData\Local\Temp\ALSysIO64.sys [x]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2010-10-22 14120]
R3 LVRS64;Logitech RightSound Filter Driver;c:\windows\system32\DRIVERS\lvrs64.sys [2011-04-01 341856]
R3 LVUVC64;Logitech HD Webcam C270(UVC);c:\windows\system32\DRIVERS\lvuvc64.sys [2011-04-01 4184672]
R3 nmwcdnsux64;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsux64.sys [2010-12-02 171008]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-20 20992]
R3 SilvrLnk;SilverLink (USB GraphLink) Cable;c:\windows\system32\DRIVERS\silvrlnk.sys [2009-09-10 129536]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-22 834544]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-10-19 27760]
S1 cbfs3;cbfs3;c:\windows\system32\drivers\cbfs3.sys [2012-04-09 352144]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-09-29 203264]
S2 AntiVirSchedulerService;Avira Planer;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-05-09 86224]
S2 AntiVirWebService;Avira Browser Schutz;c:\program files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE [2012-05-09 465360]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files (x86)\LogMeIn Hamachi\hamachi-2.exe [2012-02-28 2343816]
S2 KSS;Kaspersky Security Scan Service;c:\program files (x86)\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe [2012-04-25 202296]
S2 UMVPFSrv;UMVPFSrv;c:\program files (x86)\Common Files\logishrd\LVMVFM\UMVPFSrv.exe [2011-04-01 428640]
S2 wDokan;wDokan;c:\windows\system32\drivers\wdokan.sys [2010-08-11 86392]
S2 wDokanMounter;wDokanMounter;c:\program files (x86)\Wuala Dokan\mounter.exe [2010-08-11 11776]
S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2010-08-16 116240]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2009-03-20 460800]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-06-23 344680]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 16:47]
.
2013-01-30 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1027476448-1133028917-2562891829-1001Core.job
- c:\users\Dennis\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-05 16:52]
.
2013-01-30 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1027476448-1133028917-2562891829-1001UA.job
- c:\users\Dennis\AppData\Local\Facebook\Update\FacebookUpdate.exe [2011-09-05 16:52]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon1]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2012-05-02 12:10 1721856 ----a-w- c:\program files (x86)\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon2]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2012-05-02 12:10 1721856 ----a-w- c:\program files (x86)\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon3]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2012-05-02 12:10 1721856 ----a-w- c:\program files (x86)\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0WualaOverlayIcon4]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2012-05-02 12:10 1721856 ----a-w- c:\program files (x86)\Wuala OverlayIcons\OverlayIcon.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1EldosIconOverlay]
@="{646F8197-A414-4F44-8736-5AC840D93AA1}"
[HKEY_CLASSES_ROOT\CLSID\{646F8197-A414-4F44-8736-5AC840D93AA1}]
2012-04-09 14:27 190480 ----a-w- c:\windows\System32\CbFsMntNtf3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EldosIconOverlay]
@="{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}"
[HKEY_CLASSES_ROOT\CLSID\{5BB532A2-BF14-4CCC-86B7-71B81EF6F8BC}]
2012-04-09 14:27 190480 ----a-w- c:\windows\System32\CbFsMntNtf3.dll
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://de.ask.com/?l=dis&o=APN10023&gct=hp
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\program files (x86)\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: samsungsetup.com\www
TCP: DhcpNameServer = 192.168.1.1
DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://www.olb.de/olb_fb3_1857/plugin/AXFOAM.CAB
DPF: {2AD0C02D-3A2E-4192-BD8A-19C89BD0DFF1} - file:///C:/ProgramData/Skype/Plugins/Plugins/263AF18BA8E6473194D1E386FDADB7DE/4USclub.cab
FF - ProfilePath - c:\users\Dennis\AppData\Roaming\Mozilla\Firefox\Profiles\j5f1fzae.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - prefs.js: network.proxy.type - 4
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - c:\program files (x86)\Ask.com\GenericAskToolbar.dll
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - c:\program files (x86)\Ask.com\GenericAskToolbar.dll
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
AddRemove-Call of Duty Black Ops GERMAN Uncut 1.00 - i:\spiele\Call of Duty Black Ops\Call of Duty Black Ops GERMAN Uncut\Uninstall.exe
AddRemove-Company of Heroes - j:\spiele\Company of Heroes\Uninstall_German.exe
AddRemove-PokerStars.net - i:\spiele\Pokerstars\PokerStarsUninstall.exe
AddRemove-{3854605E-9D82-446C-8FFA-79FF0471C8C3} - i:\spiele\Need for Speed Underground 2\Nfs 2\Uninstall.exe
AddRemove-{A716BE0A-331D-4603-9E70-319153D1943F}_is1 - i:\spiele\Mafia 2\MAFIA 2\unins000.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1027476448-1133028917-2562891829-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C78157EA-CF51-C61D-AD7E-F85A1A49BA62}*]
"haiolgkfhobgjkpo"=hex:69,61,6d,6c,63,6a,6d,66,64,6e,6a,66,70,69,66,69,6f,62,
00,00
"iacpbgapnckmicjinn"=hex:69,61,66,6d,70,69,6c,6b,64,6b,64,6f,6f,69,62,6d,65,6a,
00,00
.
[HKEY_USERS\S-1-5-21-1027476448-1133028917-2562891829-1001\Software\SecuROM\License information*]
"datasecu"=hex:29,de,5c,eb,9e,c8,8b,83,f1,65,d4,6a,fc,47,5c,94,e0,94,2d,0d,3d,
be,a9,bb,3a,2a,65,c5,50,7a,d3,45,7b,70,b1,ad,2c,6a,f2,f0,9e,4b,c6,e6,28,81,\
"rkeysecu"=hex:d4,2c,e8,1d,32,03,d5,43,3e,ac,b4,54,36,7c,55,78
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_146.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\avmwlanstick\WlanNetService.exe
c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\SysWOW64\PnkBstrA.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-02 00:45:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-02-01 23:45
.
Vor Suchlauf: 12 Verzeichnis(se), 349.654.802.432 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 349.555.478.528 Bytes frei
.
- - End Of File - - 13D21BD311ADC4C065CD1B87E7CF9155
|
|
02.02.2013, 20:32
| #12 |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen Hi, wie läuft der Rechner jetzt? Hast du noch Probleme? Schritt 1 Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
Schritt 2 Downloade dir bitte Malwarebytes Anti-Malware .
Schritt 3 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 4 Downloade dir bitte SecurityCheck (Link 2).
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
|
03.02.2013, 20:15
| #13 |
| | Trojaner bds zeroaccess.gen eingefangen Also der Rechner läuft jetzt wieder gut, Probleme gab es noch keine! Log AdwCleaner Code:
ATTFilter # AdwCleaner v2.109 - Datei am 03/02/2013 um 15:27:05 erstellt
# Aktualisiert am 26/01/2013 von Xplode
# Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)
# Benutzer : Dennis - DENNIS-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Dennis\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : C:\Users\Dennis\AppData\Local\AskToolbar
Ordner Gelöscht : C:\Users\Dennis\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Users\Dennis\AppData\Roaming\Mozilla\Firefox\Profiles\j5f1fzae.default\extensions\vshare@toolbar
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Headlight
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Wert Gelöscht : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.7601.17514
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://de.ask.com/?l=dis&o=APN10023&gct=hp --> hxxp://www.google.com
-\\ Mozilla Firefox v8.0 (de)
Datei : C:\Users\Dennis\AppData\Roaming\Mozilla\Firefox\Profiles\j5f1fzae.default\prefs.js
Gelöscht : user_pref("vshare.install.date", "1287878400000");
Gelöscht : user_pref("vshare.install.finished", "1.0.0");
Gelöscht : user_pref("vshare.install.guid", "{013fd754-1482-4390-bb42-5ff5e248dc1e}");
Gelöscht : user_pref("vshare.install.isHidden", true);
Gelöscht : user_pref("vshare.install.laststatreq", "1300752000000");
Gelöscht : user_pref("vshare.install.newtab", false);
*************************
AdwCleaner[S1].txt - [3816 octets] - [03/02/2013 15:27:05]
########## EOF - C:\AdwCleaner[S1].txt - [3876 octets] ##########
Code:
ATTFilter Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.03.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Dennis :: DENNIS-PC [Administrator] 03.02.2013 15:32:41 mbam-log-2013-02-03 (15-32-41).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 235074 Laufzeit: 4 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter C:\FRST\Quarantine\skype.dat a variant of Win32/Kryptik.ATIH trojan
Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus out of date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 CCleaner Java(TM) 6 Update 29 Java(TM) 7 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader XI Mozilla Firefox 8.0 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe Kaspersky Lab Kaspersky Security Scan 2.0 kss.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
|
03.02.2013, 21:11
| #14 |
| /// TB-Ausbilder | Trojaner bds zeroaccess.gen eingefangen Hi, gut, das sieht besser aus. Um das Risiko für zukünftige Malwarebefälle zu vermindern, solltest du unbedingt noch ein paar Updates machen. Alte Versionen sind oft der Grund für eine Infektion. Hinweis: Registry CleanerIch sehe, dass du sogenannte Registry Cleaner installiert hast. In deinem Fall CCleaner. Wir raten von der Verwendung jeglicher Art von Registry Cleaner ab. Der Grund ist ganz einfach: Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Man sollte nicht unnötigerweise an der Registry rumbasteln. Schon ein kleiner Fehler kann gravierende Folgen haben und auch Programme machen manchmal Fehler. Zerstörst du die Registry, zerstörst du Windows. Zudem ist der Nutzen zur Performancesteigerung umstritten und meist kaum im wahrnehmbaren Bereich. Ich würde dir empfehlen, Registry Cleaner nicht weiterhin zu verwenden und über Start --> Systemsteuerung --> Software (bei Windows XP)zu deinstallieren. Schritt 1 Dein Internet Explorer ist veraltet. Downloade und installiere bitte die aktuelle Version. Schritt 2 Auch der Mozilla Firefox ist nicht aktuell. Deinstalliere bitte Mozilla Firefox 8.0 und ersetze ihn durch die aktuelle Ausgabe. Schritt 3 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 13.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 4
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
|
03.02.2013, 21:38
| #15 |
| | Trojaner bds zeroaccess.gen eingefangen Hi, habe alles durchgeführt. Aber wieso sieht das besser aus? Laut dem einen Log habe ich doch einen Trojaner auf dem PC? Log Security Check Code:
ATTFilter Results of screen317's Security Check version 0.99.57 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java 7 Update 13 Java version out of Date! Adobe Flash Player 11.5.502.146 Adobe Reader XI ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe Kaspersky Lab Kaspersky Security Scan 2.0 kss.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: ````````````````````End of Log`````````````````````` |
|
| Themen zu Trojaner bds zeroaccess.gen eingefangen |
| aktivieren, aufruf, automatisch, avira, bds, beendet, bildschirm, desktop, erstellt, euro, gesperrt, hochfahren, internetseite, meldung, musik, neu, neue, neuen, scan, scanner, seite, task-manager, trojaner, warnung, zugriff |
Hybrid-Darstellung
