| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Delta - Search und dessen ÜberresteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
19.02.2013, 23:18
| #1 | |
 |  Delta - Search und dessen Überreste Hallo zusammen. Ich habe nach einiger Zeit Delta-Search auf meinem Computer entdeckt. Anscheinend bin ich nicht die Einzige mit diesem Problem hier. Nachdem ich einige Guides ausprobiert habe um das Ganze zu entfernen und Spybot installiert und einmal durchlaufen lassen habe, startet Firefox wieder normal. Allerdings bezweifle ich, dass das Problem damit gelöst ist. Außerdem laden manche Seiten jetzt auffällig langsam. Beim Befolgen der Guides habe ich alle Schritte die mit einem Verändern der Registry verbunden sind ausgelassen, da ich Sorge hatte dabei mehr kaputt zu machen als zu richten. Die Guides, mit denen ich es versucht habe: hxxp://forums.anvisoft.com/viewtopic-45-3840-0.html hxxp://blog.teesupport.com/delta-search-takes-control-of-browser-how-to-remove-search-browser-virus/ OTL.txt (lässt sich leider nicht anhängen, da zu groß) Zitat:
Geändert von Ygmurla (19.02.2013 um 23:29 Uhr) |
|
19.02.2013, 23:28
| #2 |
| /// Malware-holic   | Delta - Search und dessen Überreste Hi,
__________________Downloade dir bitte  TDSSKiller.exe und speichere diese Datei auf dem Desktop
__________________ |
|
19.02.2013, 23:34
| #3 | |
| | Delta - Search und dessen Überreste TDSSKiller:
__________________Zitat:
|
|
19.02.2013, 23:41
| #4 |
| /// Malware-holic | Delta - Search und dessen Überreste Hi, Scan mit Combofix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.02.2013, 00:13
| #5 |
| | Delta - Search und dessen Überreste Nach dem Ausführen war eine combofix.txt nirgends zu finden. In C:\ ist ein boot.bak und ein Combofixsymbol, sowie ein neuer Ordner (Qoobox). Ich habe den Computer ein zweites Mal neu gestartet, danach erschien wieder die "schwerwiegender Fehler" - Meldung. Beim Starten des Browsers erscheint jetzt wieder Delta Search als Startseite. Soll ich Combofix ein zweites Mal ausführen? EDIT: Delta Search erscheint mal als Startseite, mal nicht. Geändert von Ygmurla (20.02.2013 um 00:19 Uhr) |
|
20.02.2013, 13:27
| #6 |
| /// Malware-holic | Delta - Search und dessen Überreste ok erst mal ohne combofix malwarebytes: Downloade Dir bitte Malwarebytes
__________________ --> Delta - Search und dessen Überreste |
|
20.02.2013, 17:00
| #7 | |
| | Delta - Search und dessen Überreste Malewarebytes: Zitat:
|
|
20.02.2013, 17:02
| #8 |
| /// Malware-holic | Delta - Search und dessen Überreste meldungen von kaspersky bitte als Text posten
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.02.2013, 17:12
| #9 |
| | Delta - Search und dessen Überreste Backdoor.Win32.Rbot.kur - Trojanisches Programm Objekt: C:\System Volume Information\ restore{5F717F24-33B8-4682-B57A-8A16676D1DDC}\RP873\A0161283.exe Status: Gelöscht Backdoor.Win32.Rbot.kur - Trojanisches Programm Objekt: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe Status: Gelöscht DoS.Generic.SYNFlood - Netzwerkangriff Objekt: 192.168.178.1192.168.178.1 Status: Nicht definiert |
|
20.02.2013, 17:46
| #10 |
| /// Malware-holic | Delta - Search und dessen Überreste danke. lade den CCleaner standard: CCleaner Download - CCleaner 3.21.1767 falls der CCleaner bereits instaliert ist, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.02.2013, 19:09
| #11 | |
| | Delta - Search und dessen ÜberresteZitat:
|
|
20.02.2013, 19:19
| #12 |
| /// Malware-holic | Delta - Search und dessen Überreste deinstaliere: Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden, instalieren. adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. Sicherheit (erweitert) Erweiterte Sicherheit anhaken und alle Dateien auswählen. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Amnesia Bandisoft BrowserProtect Die Sims Driver Detective : instaliere lieber driver vom hersteller, das ist besser. Dropbox DVDVideoSoftTB Game Booster : sollte man auch drauf verzichten, achte lieber auf nen schlanken autostart etc dann läuft der pc auch besser, autostart können wir uns, wenn du willst noch ansehen. Java downloade Java jre: Java-Downloads für alle Betriebssysteme klicke: Download der Java-Software für Windows Offline laden, und instalieren Kaspersky : homepage aufsuchen, version 2013 hohlen, upgrades sind kostenlos MSN Nero Oblivion QuickTime Rappelz Samsung : alle SIW Spotify Spybot : vollkommen unnötig, wenige Updates, blockt kaum ernstzunemene Schadsoftware, da kannst die Resourcen deines pcs sinnvoller nutzen. Vegas Vindictus Webzen : beide Öffne CCleaner, analysieren, starten, PC neustarten. Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.02.2013, 22:12
| #13 | |
| | Delta - Search und dessen ÜberresteZitat:
Zu CCleaner: - BrowserProtect ließ sich so nicht entfernen ("ERROR 2 - System kann die angegebene Datei nicht finden"), nach der Anwendung von adwcleaner war es jedoch entfernt und nicht mehr in der Liste - Rappelz lässt sich nicht entfernen ("ERROR 3 - System kann den angegebenen Pfad nicht finden") - beim Klicken auf Deinstallieren bei Sims/Oblivion passiert nichts Zu den letzten drei Spielen muss ich sagen, dass ich sie alle seit Jahren nicht mehr genutzt und wohl auch zwischendurch mal zum Teil deinstalliert habe, wahrscheinlich nicht ganz korrekt/erfolgreich. AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.112 - Datei am 20/02/2013 um 21:54:05 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : PC - PC-8EC2407C68C2
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\PC\Desktop\adwcleaner0.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\bprotector_extensions.sqlite
Datei Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\bprotector_prefs.js
Datei Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\searchplugins\delta.xml
Datei Gelöscht : C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
Datei Gelöscht : C:\WINDOWS\system32\conduitEngine.tmp
Datei Gelöscht : C:\WINDOWS\Tasks\BrowserProtect.job
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BrowserProtect
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\CT2269050
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\extensions\engine@conduit.com
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\OpenCandy
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\PriceGong
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Conduit
Ordner Gelöscht : C:\Dokumente und Einstellungen\PC\Startmenü\Programme\BrowserProtect
Ordner Gelöscht : C:\Programme\Conduit
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\5968fdae53be549
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\DataMngr
Schlüssel Gelöscht : HKCU\Software\DataMngr_Toolbar
Schlüssel Gelöscht : HKCU\Software\InstallCore
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\BrowserProtect
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Schlüssel Gelöscht : HKCU\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\5968fdae53be549
Schlüssel Gelöscht : HKLM\Software\AskBarDis
Schlüssel Gelöscht : HKLM\Software\Babylon
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Conduit.Engine
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2269050
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\DataMngr
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\pgafcinpmmpklohkojmllohdhomoefph
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Main [bprotector start page]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [bProtectorDefaultScope]
Wert Gelöscht : HKCU\Software\Mozilla\Firefox\extensions [{58BD07EB-0EE0-4DF0-8121-DC9B693373DF}]
***** [Internet Browser] *****
-\\ Internet Explorer v7.0.6000.17114
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119370&babsrc=HP_ss&mntrId=20a3a79800000000000000301bbbd36d --> hxxp://www.google.com
-\\ Mozilla Firefox v18.0.2 (de)
Datei : C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\prefs.js
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\user.js ... Gelöscht !
Gelöscht : user_pref("CT2269050.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Gelöscht : user_pref("CT2269050.CTID", "CT2269050");
Gelöscht : user_pref("CT2269050.CurrentServerDate", "2-2-2011");
Gelöscht : user_pref("CT2269050.DialogsAlignMode", "LTR");
Gelöscht : user_pref("CT2269050.DownloadReferralCookieData", "");
Gelöscht : user_pref("CT2269050.EMailNotifierPollDate", "Wed Feb 02 2011 17:33:50 GMT+0100");
Gelöscht : user_pref("CT2269050.FirstServerDate", "2-2-2011");
Gelöscht : user_pref("CT2269050.FirstTime", true);
Gelöscht : user_pref("CT2269050.FirstTimeFF3", true);
Gelöscht : user_pref("CT2269050.FirstTimeSettingsDone", true);
Gelöscht : user_pref("CT2269050.FixPageNotFoundErrors", true);
Gelöscht : user_pref("CT2269050.GroupingServerCheckInterval", 1440);
Gelöscht : user_pref("CT2269050.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Gelöscht : user_pref("CT2269050.Initialize", true);
Gelöscht : user_pref("CT2269050.InitializeCommonPrefs", true);
Gelöscht : user_pref("CT2269050.InstallationAndCookieDataSentCount", 1);
Gelöscht : user_pref("CT2269050.InstallationType", "UnknownIntegration");
Gelöscht : user_pref("CT2269050.InstalledDate", "Wed Feb 02 2011 17:33:50 GMT+0100");
Gelöscht : user_pref("CT2269050.InvalidateCache", false);
Gelöscht : user_pref("CT2269050.IsGrouping", false);
Gelöscht : user_pref("CT2269050.IsMulticommunity", false);
Gelöscht : user_pref("CT2269050.IsOpenThankYouPage", false);
Gelöscht : user_pref("CT2269050.IsOpenUninstallPage", false);
Gelöscht : user_pref("CT2269050.LanguagePackLastCheckTime", "Wed Feb 02 2011 17:33:52 GMT+0100");
Gelöscht : user_pref("CT2269050.LanguagePackReloadIntervalMM", 1440);
Gelöscht : user_pref("CT2269050.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Gelöscht : user_pref("CT2269050.LastLogin_2.7.2.0", "Wed Feb 02 2011 17:33:51 GMT+0100");
Gelöscht : user_pref("CT2269050.LatestVersion", "3.2.5.2");
Gelöscht : user_pref("CT2269050.Locale", "en");
Gelöscht : user_pref("CT2269050.LoginCache", 4);
Gelöscht : user_pref("CT2269050.MCDetectTooltipHeight", "83");
Gelöscht : user_pref("CT2269050.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Gelöscht : user_pref("CT2269050.MCDetectTooltipWidth", "295");
Gelöscht : user_pref("CT2269050.RadioIsPodcast", false);
Gelöscht : user_pref("CT2269050.RadioLastCheckTime", "Wed Feb 02 2011 17:33:51 GMT+0100");
Gelöscht : user_pref("CT2269050.RadioLastUpdateIPServer", "3");
Gelöscht : user_pref("CT2269050.RadioLastUpdateServer", "129132338014870000");
Gelöscht : user_pref("CT2269050.RadioMediaID", "12473383");
Gelöscht : user_pref("CT2269050.RadioMediaType", "Media Player");
Gelöscht : user_pref("CT2269050.RadioMenuSelectedID", "EBRadioMenu_CT226905012473383");
Gelöscht : user_pref("CT2269050.RadioStationName", "Hotmix%20108");
Gelöscht : user_pref("CT2269050.RadioStationURL", "hxxp://67.202.67.18:8082");
Gelöscht : user_pref("CT2269050.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Gelöscht : user_pref("CT2269050.SearchFromAddressBarIsInit", true);
Gelöscht : user_pref("CT2269050.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT226[...]
Gelöscht : user_pref("CT2269050.SearchInNewTabEnabled", true);
Gelöscht : user_pref("CT2269050.SearchInNewTabIntervalMM", 1440);
Gelöscht : user_pref("CT2269050.SearchInNewTabLastCheckTime", "Wed Feb 02 2011 17:33:51 GMT+0100");
Gelöscht : user_pref("CT2269050.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Gelöscht : user_pref("CT2269050.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Gelöscht : user_pref("CT2269050.SettingsCheckIntervalMin", 120);
Gelöscht : user_pref("CT2269050.SettingsLastCheckTime", "Wed Feb 02 2011 17:33:50 GMT+0100");
Gelöscht : user_pref("CT2269050.SettingsLastUpdate", "1295944639");
Gelöscht : user_pref("CT2269050.ThirdPartyComponentsInterval", 504);
Gelöscht : user_pref("CT2269050.ThirdPartyComponentsLastCheck", "Wed Feb 02 2011 17:33:49 GMT+0100");
Gelöscht : user_pref("CT2269050.ThirdPartyComponentsLastUpdate", "1246790578");
Gelöscht : user_pref("CT2269050.TrusteLinkUrl", "hxxp://www.truste.org/pvr.php?page=validate&softwareProgramId=[...]
Gelöscht : user_pref("CT2269050.UserID", "UN72956836464252957");
Gelöscht : user_pref("CT2269050.WeatherNetwork", "");
Gelöscht : user_pref("CT2269050.WeatherPollDate", "Wed Feb 02 2011 17:33:51 GMT+0100");
Gelöscht : user_pref("CT2269050.WeatherUnit", "C");
Gelöscht : user_pref("CT2269050.alertChannelId", "666138");
Gelöscht : user_pref("CT2269050.clientLogIsEnabled", false);
Gelöscht : user_pref("CT2269050.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Gelöscht : user_pref("CT2269050.myStuffEnabled", true);
Gelöscht : user_pref("CT2269050.myStuffPublihserMinWidth", 400);
Gelöscht : user_pref("CT2269050.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Gelöscht : user_pref("CT2269050.myStuffServiceIntervalMM", 1440);
Gelöscht : user_pref("CT2269050.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Gelöscht : user_pref("CT2269050.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Gelöscht : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Gelöscht : user_pref("CommunityToolbar.ToolbarsList", "CT2269050");
Gelöscht : user_pref("CommunityToolbar.ToolbarsList2", "CT2269050");
Gelöscht : user_pref("extensions.BabylonToolbar_i.newTab", true);
*************************
AdwCleaner[S1].txt - [10705 octets] - [20/02/2013 21:54:05]
########## EOF - C:\AdwCleaner[S1].txt - [10766 octets] ##########
|
|
20.02.2013, 22:15
| #14 |
| /// Malware-holic | Delta - Search und dessen Überreste Hi deinstalationen, die nicht laufen, mit Rewo: Revo Uninstaller - Download - Filepony Öffne CCleaner, extras, Autostartliste, Inhalt von der Registerkarte windows als txt speichern, posten bitte. HitmanPro - Download - Filepony Hitmanpro laden, doppelklicken, Lizenz, Testlizenz. Auf Scan, nichts löschen. Auf weiter, Log als xml exportieren, Inhalt posten, bzw packen und anhängen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.02.2013, 22:43
| #15 |
| | Delta - Search und dessen Überreste Danke, die Programmreste ließen sich entfernen. startup: Ja HKCU:Run Akamai NetSession Interface Akamai Technologies, Inc. "C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" Ja HKCU:Run ctfmon.exe Microsoft Corporation C:\WINDOWS\system32\ctfmon.exe Ja HKCU:Run IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 Ja HKCU:Run MSMSGS Microsoft Corporation "C:\Programme\Messenger\msmsgs.exe" /background Ja HKCU:Run msnmsgr Microsoft Corporation "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background Ja HKCU:Run PlayNC Launcher Ja HKLM:Run Adobe ARM Adobe Systems Incorporated "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" Ja HKLM:Run Adobe Version Cue CS2 Adobe Sytems Incorporated "c:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" Ja HKLM:Run AVP Kaspersky Lab ZAO "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe" Ja HKLM:Run CanonMyPrinter CANON INC. C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon Ja HKLM:Run CanonSolutionMenuEx CANON INC. C:\Programme\Canon\Solution Menu EX\CNSEMAIN.EXE /logon Ja HKLM:Run IJNetworkScannerSelectorEX CANON INC. C:\Programme\Canon\IJ Network Scanner Selector EX\CNMNSST.exe /FORCE Ja HKLM:Run NBKeyScan "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" Ja HKLM:Run NvCplDaemon Microsoft Corporation RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup Ja HKLM:Run NvMediaCenter Microsoft Corporation RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login Ja HKLM:Run nwiz NVIDIA Corporation C:\Programme\NVIDIA Corporation\nview\nwiz.exe /installquiet Ja HKLM:Run SoundMan Realtek Semiconductor Corp. SOUNDMAN.EXE Ja HKLM:Run SunJavaUpdateSched Sun Microsystems, Inc. "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" Ja Startup Common Adobe Gamma.lnk Adobe Systems, Inc. C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe Ja Startup User FRITZ!DSL Startcenter.lnk AVM Berlin C:\Programme\FRITZ!DSL\StCenter.exe Ja Startup User OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk Microsoft Corporation C:\Programme\Microsoft Office\Office14\ONENOTEM.EXE hitman: Code:
ATTFilter HitmanPro 3.7.2.188
www.hitmanpro.com
Computer name . . . . : PC-8EC2407C68C2
Windows . . . . . . . : 5.1.3.2600.X86/1
User name . . . . . . : PC-8EC2407C68C2\PC
License . . . . . . . : Free
Scan date . . . . . . : 2013-02-20 22:33:54
Scan mode . . . . . . : Normal
Scan duration . . . . : 7m 1s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 1
Traces . . . . . . . : 16
Objects scanned . . . : 1.004.023
Files scanned . . . . : 16.032
Remnants scanned . . : 184.425 files / 803.566 keys
Malware _____________________________________________________________________
C:\WINDOWS\system32\GameMon.des
Size . . . . . . . : 3.404.560 bytes
Age . . . . . . . : 1340.4 days (2009-06-21 11:52:03)
Entropy . . . . . : 7.9
SHA-256 . . . . . : 0D7335A08063431492EC18667C7CDD1CAA27F3568DE9C398B43A44EA831046CD
Product . . . . . : nProtect Game Monitor
Publisher . . . . : INCA Internet Co., Ltd.
Description . . . : nProtect Game Monitor Rev 1447
Version . . . . . : 2009.12.16.1
Copyright . . . . : Copyright ⓒ 2000-2007 INCA Internet
Service . . . . . : npggsvc
> Ikarus . . . . . . : Virus.Win32.Themida!IK
Fuzzy . . . . . . : 136.0
Startup
HKLM\SYSTEM\CurrentControlSet\Services\npggsvc\
Suspicious files ____________________________________________________________
C:\Dokumente und Einstellungen\PC\Lokale Einstellungen\Anwendungsdaten\PunkBuster\APB\pb\PnkBstrK.sys
Size . . . . . . . : 141.200 bytes
Age . . . . . . . : 560.3 days (2011-08-10 15:28:05)
Entropy . . . . . : 7.7
SHA-256 . . . . . : 4032A64436FC04128BEB7DF400986A3DBDBAADBFA4C11B3887C4755147082326
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.
C:\WINDOWS\system32\drivers\PnkBstrK.sys
Size . . . . . . . : 141.200 bytes
Age . . . . . . . : 560.3 days (2011-08-10 15:24:14)
Entropy . . . . . : 7.7
SHA-256 . . . . . : 4032A64436FC04128BEB7DF400986A3DBDBAADBFA4C11B3887C4755147082326
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 26.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.
C:\WINDOWS\system32\xsherlock.xem
Size . . . . . . . : 666.720 bytes
Age . . . . . . . : 310.2 days (2012-04-16 17:54:58)
Entropy . . . . . : 7.9
SHA-256 . . . . . : FA75544B3ABE97267905DD0AC42CC2B93BC95CC328F9383CA7DD97B72D60C23B
Product . . . . . : XIGNCODE3
Publisher . . . . : Wellbia.com Co., Ltd.
Description . . . : XIGNCODE3 Game Start Service
Version . . . . . : 3.1.0.1
Copyright . . . . : Copyright (C) 2006-2011 Wellbia.com Co., Ltd.
RSA Key Size . . . : 2048
Service . . . . . : xsherlock
Authenticode . . . : Valid
Fuzzy . . . . . . : 27.0
The file name extension of this program is not common.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.
Starts automatically as a service during system bootup.
Program is code signed with a valid Authenticode certificate.
Startup
HKLM\SYSTEM\CurrentControlSet\Services\xsherlock\
Potential Unwanted Programs _________________________________________________
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_BROWSERPROTECT\ (Claro)
HKLM\SYSTEM\ControlSet005\Enum\Root\LEGACY_BROWSERPROTECT\ (Claro)
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BROWSERPROTECT\ (Claro)
Cookies _____________________________________________________________________
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:ad.360yield.com
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:bs.serving-sys.com
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:kaspersky.122.2o7.net
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:revsci.net
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:serving-sys.com
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:track.adform.net
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Mozilla\Firefox\Profiles\pepwxceq.default\cookies.sqlite:www.googleadservices.com
|
|
| Themen zu Delta - Search und dessen Überreste |
| akamai, bho, bonjour, canon, cdburnerxp, computer, converter, dsl, dvdvideosoft ltd., excel, firefox, flash player, format, google, intranet, kaputt, kaspersky, logfile, mozilla, mp3, nvidia update, object, plug-in, preferences, problem, realtek, refresh, registry, safer networking, scan, security, senden, sich automatisch, software, spotify web helper, tastatur |
WARNUNG an die MITLESER: 
Hybrid-Darstellung
