|
Log-Analyse und Auswertung: Mehrere Troj-Funde in Recycle.BinWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
11.06.2013, 11:51 | #1 |
| Mehrere Troj-Funde in Recycle.Bin Hallo zusammmen! Ich bin über verschiedene Suchen im Internet auf diese Seite gestoßen und hoffe ihr könnt mir helfen. Bei dem Laptop meiner Eltern tauchen seit einigen Tagen oder Wochen wohl immer wieder Virusmeldungen auf. Diese Verweisen auf den Ordner C:\Recycle.Bin\... Beim Versuch diese Daten manuell zu löschen habe ich keinen Zugriff auf die Dateien und Ordner. Auch beim Versuch über die cmd (als admin) über "rd /s /q Pfad" keine Chance. Es war wohl vor ca 2 Monaten ein Virus/Troj auf dem Gerät welchen mein Vater versucht hat Spybot zu löschen. Anscheinend war dies nicht wirklich von erfolg gekrönt. (falls ich noch logs finden sollte kommen die logischerweise dazu!) Die Logs von Avira, OTL, defogger (kam keine Fehlermeldung, aber sicher ist sicher) und GMER habe ich angehängt. Danke schonmal für eure Hilfe, die Daten kommen sofort hinterher! |
11.06.2013, 11:53 | #2 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin Hi,
__________________Systemscan mit FRST Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
__________________ |
11.06.2013, 17:48 | #3 |
| Mehrere Troj-Funde in Recycle.Bin Hallo Schrauber,
__________________danke für deine schnelle Antwort. Leider hatte ich grade GMER gestartet was doch eine weile gedauert hat. Ich habe dir nochmal die GMER log sowie die logs von adwcleaner (lief heute morgen einmal) und sbybot mit angehängt falls es noch interessant sein sollte. Jetzt die FRST logs! FRST.txt FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-06-2013 03 Ran by Helmaduo (administrator) on 11-06-2013 18:39:08 Running from C:\Users\Helmaduo\Desktop Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard Internet Explorer Version 7 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (Microsoft Corporation) C:\Windows\system32\SLsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Apple Computer, Inc.) C:\Program Files\Bonjour\mDNSResponder.exe () C:\Windows\system32\ChgService.exe (Logitech Inc.) C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe (Nero AG) C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (TeamViewer GmbH) C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe (TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Intel Corporation) C:\Windows\system32\igfxsrvc.exe (Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe (Mozilla Corporation) C:\Program Files\Mozilla Firefox\firefox.exe (Microsoft Corporation) C:\Windows\system32\conime.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-02-11] (Intel Corporation) HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe [474168 2009-04-02] (Conexant Systems, Inc.) HKLM\...\Run: [] [x] HKLM\...\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe [215552 2008-01-21] (Microsoft Corporation) HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-05-09] (Avira Operations GmbH & Co. KG) HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess MountPoints2: E - E:\.\ShowModem.exe MountPoints2: {33722997-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe MountPoints2: {337229ab-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe MountPoints2: {337229b7-9348-11df-9a24-00269ee30edf} - E:\AutoRun.exe MountPoints2: {8b56a58f-3527-11df-bfda-d0b555597103} - E:\.\ShowModem.exe HKU\Admin\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [ 2010-05-13] (Skype Technologies S.A.) HKU\Gast\...\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode [ 2009-04-30] (Logitech Inc.) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation) Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation) Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation) Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.) Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 FireFox: ======== FF ProfilePath: C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default FF Homepage: hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @videolan.org/vlc,version=1.0.5 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi ========================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-04-16] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-04-16] (Avira Operations GmbH & Co. KG) R2 Change Modem Device Service; C:\Windows\system32\ChgService.exe [135168 2009-03-12] () R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG) S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®) S3 TuneUp.Defrag; C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [435016 2010-03-18] (TuneUp Software) R2 TuneUp.UtilitiesSvc; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [1047880 2010-02-25] (TuneUp Software) S3 msiserver; %systemroot%\system32\msiexec /V [x] ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-16] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-16] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-16] (Avira Operations GmbH & Co. KG) S3 cmnsusbser; C:\Windows\System32\DRIVERS\cmnsusbser.sys [103424 2008-10-31] (Mobile Connector) R3 L1C; C:\Windows\System32\DRIVERS\L1C60x86.sys [50176 2009-04-08] (Atheros Communications, Inc.) R3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25624 2009-04-30] () S4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-03-18] (Duplex Secure Ltd.) R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-04-16] (Avira GmbH) R3 TuneUpUtilitiesDrv; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [10064 2010-02-25] (TuneUp Software) S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 IpInIp; system32\DRIVERS\ipinip.sys [x] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x] U3 uglyipog; \??\C:\Users\Helmaduo\AppData\Local\Temp\uglyipog.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-06-11 18:39 - 2013-06-11 18:39 - 00000000 ____D C:\FRST 2013-06-11 18:37 - 2013-06-11 18:37 - 01359011 ____A (Farbar) C:\Users\Helmaduo\Desktop\FRST.exe 2013-06-11 18:35 - 2013-06-11 18:35 - 00007518 ____A C:\Users\Helmaduo\Desktop\gmer.log 2013-06-11 14:08 - 2013-06-11 11:52 - 00047649 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[R1].txt 2013-06-11 14:08 - 2013-06-11 11:52 - 00047069 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[S1].txt 2013-06-11 13:25 - 2013-06-11 11:37 - 00002905 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.130611-1137.txt 2013-06-11 13:25 - 2012-09-09 16:10 - 00002149 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.120909-1610.txt 2013-06-11 12:48 - 2013-06-11 12:49 - 00025180 ____A C:\Users\Helmaduo\Desktop\Avira.txt 2013-06-11 12:42 - 2013-06-11 12:42 - 00033892 ____A C:\Users\Helmaduo\Desktop\Extras.Txt 2013-06-11 12:40 - 2013-06-11 12:40 - 00045986 ____A C:\Users\Helmaduo\Desktop\OTL.Txt 2013-06-11 12:18 - 2013-06-11 12:18 - 00000638 ____A C:\Users\Helmaduo\Desktop\defogger_disable.log 2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable 2013-06-11 12:16 - 2013-06-11 12:17 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe 2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe 2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe 2013-06-11 11:52 - 2013-06-11 11:52 - 00047649 ____A C:\AdwCleaner[R1].txt 2013-06-11 11:52 - 2013-06-11 11:52 - 00047069 ____A C:\AdwCleaner[S1].txt 2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe 2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini 2013-06-11 11:02 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.20130611-110231.backup 2013-05-21 00:06 - 2013-05-21 00:07 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss 2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero ==================== One Month Modified Files and Folders ======== 2013-06-11 18:39 - 2013-06-11 18:39 - 00000000 ____D C:\FRST 2013-06-11 18:37 - 2013-06-11 18:37 - 01359011 ____A (Farbar) C:\Users\Helmaduo\Desktop\FRST.exe 2013-06-11 18:35 - 2013-06-11 18:35 - 00007518 ____A C:\Users\Helmaduo\Desktop\gmer.log 2013-06-11 18:20 - 2010-03-18 17:39 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-06-11 18:19 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2013-06-11 18:19 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2013-06-11 13:32 - 2008-01-21 09:16 - 01445136 ____A C:\Windows\System32\PerfStringBackup.INI 2013-06-11 12:49 - 2013-06-11 12:48 - 00025180 ____A C:\Users\Helmaduo\Desktop\Avira.txt 2013-06-11 12:42 - 2013-06-11 12:42 - 00033892 ____A C:\Users\Helmaduo\Desktop\Extras.Txt 2013-06-11 12:40 - 2013-06-11 12:40 - 00045986 ____A C:\Users\Helmaduo\Desktop\OTL.Txt 2013-06-11 12:27 - 2010-03-18 17:39 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-06-11 12:19 - 2010-07-20 15:03 - 00000000 ____A C:\Windows\System32\Drivers\lvuvc.hs 2013-06-11 12:19 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2013-06-11 12:18 - 2013-06-11 12:18 - 00000638 ____A C:\Users\Helmaduo\Desktop\defogger_disable.log 2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable 2013-06-11 12:18 - 2010-03-21 22:23 - 00000000 ____D C:\users\Helmaduo 2013-06-11 12:18 - 2006-11-02 15:01 - 00032628 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2013-06-11 12:17 - 2013-06-11 12:16 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe 2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe 2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe 2013-06-11 11:56 - 2010-03-18 17:41 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Skype 2013-06-11 11:54 - 2012-09-24 09:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2013-06-11 11:54 - 2008-01-21 04:47 - 00081916 ____A C:\Windows\PFRO.log 2013-06-11 11:52 - 2013-06-11 14:08 - 00047649 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[R1].txt 2013-06-11 11:52 - 2013-06-11 14:08 - 00047069 ____A C:\Users\Helmaduo\Desktop\AdwCleaner[S1].txt 2013-06-11 11:52 - 2013-06-11 11:52 - 00047649 ____A C:\AdwCleaner[R1].txt 2013-06-11 11:52 - 2013-06-11 11:52 - 00047069 ____A C:\AdwCleaner[S1].txt 2013-06-11 11:52 - 2010-07-31 10:37 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft 2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe 2013-06-11 11:37 - 2013-06-11 13:25 - 00002905 ____A C:\Users\Helmaduo\Desktop\Spybot.Fixes.130611-1137.txt 2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini 2013-06-11 10:59 - 2010-03-18 17:19 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-06-11 10:54 - 2012-09-09 15:28 - 00000000 ____D C:\Program Files\Spybot - Search & Destroy 2013-06-11 09:55 - 2010-03-26 23:51 - 00000424 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job 2013-06-07 11:35 - 2013-04-25 11:56 - 00000000 ____D C:\Users\Helmaduo\Desktop\Pool 2013-06-07 11:34 - 2012-09-26 20:01 - 00000000 ____D C:\Users\Helmaduo\Desktop\Neuer Ordner 2013-05-22 15:44 - 2010-03-22 10:01 - 00000000 ____D C:\Users\Gast\AppData\Roaming\vlc 2013-05-22 15:44 - 2006-11-02 14:52 - 00096680 ____A C:\Windows\setupact.log 2013-05-21 00:07 - 2013-05-21 00:06 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss 2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero 2013-05-21 00:05 - 2011-07-02 21:51 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Nero ZeroAccess: C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec ZeroAccess: C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@ ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-06-11 12:32 ==================== End Of Log ============================ und hier die Addition.txt Code:
ATTFilter Additional scan result of Farbar Recovery Scan Tool (x86) Version: 11-06-2013 03 Ran by Helmaduo at 2013-06-11 18:39:49 Run: Running from C:\Users\Helmaduo\Desktop Boot Mode: Normal ========================================================== ==================== Installed Programs ======================= "Nero SoundTrax Help (Version: 4.4.32.0) Adobe Anchor Service CS3 (Version: 1.0) Adobe Asset Services CS3 (Version: 3) Adobe Bridge CS3 (Version: 2) Adobe Bridge Start Meeting (Version: 1.0) Adobe Camera Raw 4.0 (Version: 4.0) Adobe CMaps (Version: 1.0) Adobe Color - Photoshop Specific (Version: 1.0) Adobe Color Common Settings (Version: 1.0) Adobe Color EU Extra Settings (Version: 1.0) Adobe Color JA Extra Settings (Version: 1.0) Adobe Color NA Recommended Settings (Version: 1.0) Adobe Default Language CS3 (Version: 1.0) Adobe Device Central CS3 (Version: 1.0) Adobe ExtendScript Toolkit 2 (Version: 2.0) Adobe Flash Player 10 Plugin (Version: 10.3.183.7) Adobe Fonts All (Version: 1.0) Adobe Help Viewer CS3 (Version: 1) Adobe Linguistics CS3 (Version: 3.0.0) Adobe PDF Library Files (Version: 8.0) Adobe Photoshop CS3 (Version: 10) Adobe Photoshop CS3 (Version: 10.0) Adobe Photoshop Elements (Version: 1.0) Adobe Reader 9.3 - Deutsch (Version: 9.3.0) Adobe Setup (Version: 1.0) Adobe Stock Photos CS3 (Version: 1.5) Adobe SVG Viewer (Version: 1.0) Adobe Type Support (Version: 1.0) Adobe Update Manager CS3 (Version: 5.1.0) Adobe Version Cue CS3 Client (Version: 3) Adobe WinSoft Linguistics Plugin (Version: 1.0) Adobe XMP Panels CS3 (Version: 1.0) Advertising Center (Version: 0.0.0.2) ArcSoft PhotoStudio 5.5 Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver (Version: 1.0.0.18) Avira Free Antivirus (Version: 13.0.0.3640) Canon MP Navigator EX 2.0 Canon Utilities Solution Menu CanoScan LiDE 100 Scanner Driver Conexant HD Audio (Version: 4.91.7.51) DolbyFiles (Version: 2.0) Driver Whiz (Version: 8.0.1) Firebird SQL Server - MAGIX Edition (Version: 2.1.31.0) Free YouTube Download 2.8 GoldWave v5.22 Google Earth (Version: 7.0.3.8542) Google Update Helper (Version: 1.3.21.145) HSPA USB Modem version 4.974 ICQ7 (Version: 7.0) ImagXpress (Version: 7.0.74.0) Intel(R) Graphics Media Accelerator Driver Intel(R) TV Wizard Intel® Matrix Storage Manager LG United Mobile Driver (Version: 3.6.0.0) Logitech Vid (Version: 1.00.1062) Logitech Webcam Software (Version: 12.00.1280) Logitech Webcam Software-Treiberpaket (Version: 12.0.1278) MAGIX Fotos auf DVD MX Deluxe Sonderedition (Version: 11.0.4.86) MAGIX Screenshare (Version: 4.3.6.1987) MAGIX Speed burnR (MSI) (Version: 7.0.2.6) Menu Templates - Starter Kit (Version: 9.4.6.0) Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 Language Pack SP1 - deu (Version: 3.5.30729) Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729) Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319) Microsoft .NET Framework 4 Client Profile DEU Language Pack (Version: 4.0.30319) Microsoft Office Access MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) Microsoft Office Excel MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Groove MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office InfoPath MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office OneNote MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Outlook MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office PowerPoint MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (English) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (French) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Proof (Italian) 2007 (Version: 12.0.4518.1014) Microsoft Office Proofing (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Publisher MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Shared MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Office Word MUI (German) 2007 (Version: 12.0.4518.1014) Microsoft Visual C++ 2005 Redistributable (Version: 8.0.56336) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (Version: 10.0.40219) Movie Templates - Starter Kit (Version: 9.4.6.0) Mozilla Firefox 20.0.1 (x86 de) (Version: 20.0.1) Mozilla Maintenance Service (Version: 20.0.1) MSXML 4.0 SP2 (KB954430) (Version: 4.20.9870.0) MSXML 4.0 SP2 (KB973688) (Version: 4.20.9876.0) MSXML 4.0 SP3 Parser (Version: 4.30.2100.0) Nero 9 Nero Burning ROM Help (Version: 9.4.17.100) Nero BurnRights (Version: 3.4.11.100) Nero BurnRights Help (Version: 3.4.4.100) Nero ControlCenter (Version: 9.0.0.1) Nero CoverDesigner (Version: 4.4.9.100) Nero CoverDesigner Help (Version: 4.4.9.100) Nero DiscSpeed (Version: 5.4.12.100) Nero DiscSpeed Help (Version: 5.4.4.100) Nero DriveSpeed (Version: 4.4.11.100) Nero DriveSpeed Help (Version: 4.4.4.100) Nero Express Help (Version: 9.4.17.100) Nero InfoTool (Version: 6.4.11.100) Nero InfoTool Help (Version: 6.4.4.100) Nero Installer (Version: 4.4.9.0) Nero Live (Version: 1.4.48.0) Nero Live Help (Version: 1.4.48.0) Nero PhotoSnap (Version: 1.53.2.0) Nero PhotoSnap Help (Version: 1.53.2.0) Nero Recode (Version: 4.4.31.0) Nero Recode Help (Version: 4.4.31.0) Nero Rescue Agent (Version: 2.4.12.100) Nero RescueAgent Help (Version: 2.4.4.100) Nero ShowTime (Version: 5.4.0.100) Nero ShowTime (Version: 5.4.14.100) Nero StartSmart (Version: 9.4.12.100) Nero StartSmart Help (Version: 9.4.12.100) Nero Vision (Version: 6.4.10.205) Nero Vision Help (Version: 6.4.8.100) Nero WaveEditor (Version: 5.4.32.0) NeroBurningROM (Version: 9.4.17.100) NeroExpress (Version: 9.4.17.100) neroxml (Version: 1.0.0) OEM Logo and Information PDF Generator 1.48 PDF Settings (Version: 1.0) Realtek USB 2.0 Card Reader (Version: 6.0.6000.20121) Skype Toolbars (Version: 1.0.4051) Skype™ 4.2 (Version: 4.2.169) SoundTrax (Version: 4.4.32.0) Spybot - Search & Destroy (Version: 1.6.2) TeamViewer 5 (Version: 5.0.8081 ) TuneUp Utilities (Version: 9.0.4030.5) TuneUp Utilities Language Pack (de-DE) (Version: 9.0.4030.5) Uninstall 1.0.0.1 Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1) VLC media player 1.0.5 (Version: 1.0.5) WinRAR ==================== Restore Points ========================= 20-10-2012 08:28:00 Geplanter Prüfpunkt 12-11-2012 17:51:04 Geplanter Prüfpunkt 06-02-2013 09:55:35 Geplanter Prüfpunkt 16-04-2013 08:50:32 Geplanter Prüfpunkt 25-04-2013 11:17:33 Geplanter Prüfpunkt 08-06-2013 10:53:08 Geplanter Prüfpunkt 11-06-2013 15:27:14 Geplanter Prüfpunkt ==================== Faulty Device Manager Devices ============= Name: 6TO4 Adapter Description: Microsoft-6zu4-Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: tunnel Problem: : This device is not working properly because Windows cannot load the drivers required for this device. (Code 31) Resolution: Update the driver Name: SM-Bus-Controller Description: SM-Bus-Controller Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ==================== Event log errors: ========================= Application errors: ================== Error: (06/11/2013 01:01:41 PM) (Source: Perflib) (User: ) Description: EmdCacheC:\Windows\system32\emdmgmt.dll4 Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0x80000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (06/11/2013 00:42:24 PM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005. Error: (06/11/2013 00:42:04 PM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0xc0000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (06/11/2013 00:42:04 PM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy22,0x80000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (06/11/2013 00:21:17 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/11/2013 11:56:04 AM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (06/11/2013 11:41:12 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy20,0xc0000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider Error: (06/11/2013 11:41:12 AM) (Source: VSS) (User: ) Description: Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy20,0x80000000,0x00000003,...)". hr = 0x80070005. Vorgang: EndPrepareSnapshots wird verarbeitet Kontext: Ausführungskontext: System Provider System errors: ============= Error: (06/11/2013 00:21:40 PM) (Source: Print) (User: NT-AUTORITÄT) Description: Das Dokument (GC459BM) Vistas de La Seu by paradoxs konnte nicht gedruckt werden und wurde aufgrund einer Beschädigung an der gespoolten Datei gelöscht. Der zugewiesene Treiber ist "Lexmark E323 (MS)". Versuchen Sie erneut, das Dokument zu drucken. Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: ) Description: IPsec-Richtlinien-AgentBFE Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: ) Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE Error: (06/11/2013 00:21:18 PM) (Source: Service Control Manager) (User: ) Description: Computerbrowser%%1060 Error: (06/11/2013 00:19:38 PM) (Source: HTTP) (User: ) Description: \Device\Http\ReqQueueKerberos Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: ) Description: IPsec-Richtlinien-AgentBFE Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: ) Description: IKE- und AuthIP IPsec-SchlüsselerstellungsmoduleBFE Error: (06/11/2013 11:56:05 AM) (Source: Service Control Manager) (User: ) Description: Computerbrowser%%1060 Error: (06/11/2013 11:54:33 AM) (Source: HTTP) (User: ) Description: \Device\Http\ReqQueueKerberos Error: (06/11/2013 11:36:05 AM) (Source: Print) (User: Malle-Laptop) Description: Das Dokument (GC459BM) Vistas de La Seu by paradoxs im Besitz von Helmaduo konnte nicht auf dem Drucker Lexmark E323 (MS) gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut. Datentyp: NT EMF 1.008. Größe der Spooldatei in Bytes: 167528. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 3. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\MALLE-LAPTOP. Vom Druckprozessor zurückgegebener Win32-Fehlercode: (GC459BM) Vistas de La Seu by paradoxs0. (GC459BM) Vistas de La Seu by paradoxs1 Microsoft Office Sessions: ========================= CodeIntegrity Errors: =================================== Date: 2013-06-11 18:39:25.015 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.874 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.749 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.609 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.469 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.313 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.172 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 18:39:24.032 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 12:56:25.808 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Helmaduo\AppData\Local\Temp\tmpFE70.tmp" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. Date: 2013-06-11 12:56:25.683 Description: Die Abbildintegrität der Datei "\Device\HarddiskVolume1\Users\Helmaduo\AppData\Local\Temp\tmpFE70.tmp" konnte nicht überprüft werden, da der Satz seitenbezogener Abbildhashes auf dem System nicht gefunden wurde. ==================== Memory info =========================== Percentage of memory in use: 41% Total physical RAM: 2972 MB Available physical RAM: 1751.13 MB Total Pagefile: 6180.29 MB Available Pagefile: 4803.76 MB Total Virtual: 2047.88 MB Available Virtual: 1904.77 MB ==================== Drives ================================ Drive c: () (Fixed) (Total:149.05 GB) (Free:82.5 GB) NTFS ==>[Drive with boot components (obtained from BCD)] ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 149 GB) (Disk ID: 219783C0) Partition 1: (Active) - (Size=149 GB) - (Type=07 NTFS) ==================== End Of Log ============================ |
11.06.2013, 19:31 | #4 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin Fix mit FRST Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code:
ATTFilter HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec\n. ATTENTION! ====> ZeroAccess U3 uglyipog; \??\C:\Users\Helmaduo\AppData\Local\Temp\uglyipog.sys [x] ZeroAccess: C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec ZeroAccess: C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@ C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@
Und ein frisches FRST Log bitte.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
11.06.2013, 20:28 | #5 |
| Mehrere Troj-Funde in Recycle.Bin Danke für die schnelle response... fixlist erstellt fix completed FIXLOG Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-06-2013 03 Ran by Helmaduo at 2013-06-11 21:15:06 Run:1 Running from C:\Users\Helmaduo\Desktop\frst Boot Mode: Normal ============================================== HKLM\Software\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32\\Default => Value was restored successfully. HKCR\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32\\Default => Value was restored successfully. uglyipog => Service deleted successfully. C:\$Recycle.Bin\S-1-5-21-2013908625-699266877-2042423897-1001\$7603dfa36bec298aea706e4d592ae9ec => Directory moved successfully. "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec" directory move: C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ => Moved successfully. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n => Moved successfully. Could not move "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec" directory. => Scheduled to move on reboot. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\@ => File/Directory not found. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\n => File/Directory not found. "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U" directory move: Could not move "C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U" directory. => Scheduled to move on reboot. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\00000001.@ => File/Directory not found. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\80000000.@ => File/Directory not found. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U\800000cb.@ => File/Directory not found. =========== Result of Scheduled Files to move =========== C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec => Deleted successfully. C:\$Recycle.Bin\S-1-5-18\$7603dfa36bec298aea706e4d592ae9ec\U => Is moved successfully. ==== End of Fixlog ==== Antivir meldet den "alten" Trojana jetzt im Quarantaine Verzeichnis von FRST... |
12.06.2013, 07:09 | #6 | |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.BinCombofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!Downloade dir bitte Combofix vom folgenden Downloadspiegel Link 1 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ --> Mehrere Troj-Funde in Recycle.Bin |
12.06.2013, 10:50 | #7 |
| Mehrere Troj-Funde in Recycle.Bin Guten Morgen Combofix lief ohne die erwartete Fehlermeldung durch. Am Anfang gab es Fehlermeldungen bzgl AviraDesktop (echtzeitscan war deaktiviert wurde aber als aktiv gemeldet ? ) Hier das Log-File: Code:
ATTFilter ComboFix 13-06-08.02 - Helmaduo 12.06.2013 11:29:59.1.1 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2972.1963 [GMT 2:00] ausgeführt von:: c:\users\Helmaduo\Desktop\ComboFix.exe AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\IsUn0407.exe . . ((((((((((((((((((((((( Dateien erstellt von 2013-05-12 bis 2013-06-12 )))))))))))))))))))))))))))))) . . 2013-06-12 09:37 . 2013-06-12 09:37 -------- d-----w- c:\users\Gast\AppData\Local\temp 2013-06-12 09:37 . 2013-06-12 09:37 -------- d-----w- c:\users\Default\AppData\Local\temp 2013-06-12 09:37 . 2013-06-12 09:37 -------- d-----w- c:\users\Admin\AppData\Local\temp 2013-06-12 09:37 . 2013-06-12 09:42 -------- d-----w- c:\users\Helmaduo\AppData\Local\temp 2013-06-11 16:39 . 2013-06-11 19:17 -------- d-----w- C:\FRST 2013-06-11 08:59 . 2013-06-11 08:59 74136 ----a-w- c:\program files\Mozilla Firefox\breakpadinjector.dll 2013-06-11 08:59 . 2013-06-11 08:59 96664 ----a-w- c:\program files\Mozilla Firefox\webapprt-stub.exe 2013-06-11 08:59 . 2013-06-11 08:59 26520 ----a-w- c:\program files\Mozilla Firefox\plugin-hang-ui.exe 2013-06-11 08:59 . 2013-06-11 08:59 170232 ----a-w- c:\program files\Mozilla Firefox\webapp-uninstaller.exe 2013-05-20 22:05 . 2013-05-20 22:05 -------- d-----w- c:\users\Gast\AppData\Local\Nero . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-04-16 11:31 . 2013-04-16 13:09 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys 2013-04-16 11:31 . 2013-04-16 13:09 84744 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2013-04-16 11:31 . 2013-04-16 13:09 135136 ----a-w- c:\windows\system32\drivers\avipbb.sys 2013-06-11 08:59 . 2011-04-22 11:21 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-11 186904] "cAudioFilterAgent"="c:\program files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe" [2009-04-02 474168] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032] "Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568] "Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-05-09 345312] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.exe.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.exe.lnk backup=c:\windows\pss\Adobe Gamma Loader.exe.lnk.CommonStartup backupExtension=.CommonStartup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2009-12-11 14:57 948672 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2006-10-26 23:47 31016 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] 2010-02-10 16:38 133368 ----a-w- c:\program files\ICQ7.0\ICQ.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon] 2009-05-08 08:35 2780432 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" -bootmode "WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe "Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" "B2C_AGENT"=c:\programdata\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe "CanonSolutionMenu"=c:\program files\Canon\SolutionMenu\CNSLMAIN.exe /logon . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners . 2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-18 15:39] . 2013-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-03-18 15:39] . 2013-06-12 c:\windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Free YouTube Download - c:\users\Helmaduo\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\ FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF - ExtSQL: !HIDDEN! 2010-07-29 12:37; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension . - - - - Entfernte verwaiste Registrierungseinträge - - - - . AddRemove-Adobe Photoshop Elements 1.0 - c:\windows\ISUN0407.EXE AddRemove-Adobe SVG Viewer - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2013-06-12 11:42 Windows 6.0.6001 Service Pack 1 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BFE] "ImagePath"="." . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MpsSvc] "ImagePath"="." . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . ------------------------ Weitere laufende Prozesse ------------------------ . c:\program files\Avira\AntiVir Desktop\sched.exe c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\ChgService.exe c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe c:\program files\TeamViewer\Version5\TeamViewer_Service.exe c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe c:\program files\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\igfxsrvc.exe c:\windows\system32\conime.exe c:\\?\c:\windows\system32\wbem\WMIADAP.EXE c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\windows\servicing\TrustedInstaller.exe c:\windows\system32\vssvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2013-06-12 11:46:54 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2013-06-12 09:46 . Vor Suchlauf: 11 Verzeichnis(se), 88.568.676.352 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 88.861.089.792 Bytes frei . - - End Of File - - FFE8692CC64943DEE8D2A84EAA4A93BC 5C616939100B85E558DA92B899A0FC36 |
12.06.2013, 11:57 | #8 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin schaut gut aus Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
ESET Online Scanner
Downloade Dir bitte SecurityCheck und:
und ein frisches FRST Logfile. Noch Probleme?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
13.06.2013, 09:55 | #9 |
| Mehrere Troj-Funde in Recycle.Bin Moin 2 Probleme... 1. JRT läuft nicht durch. Er geht immer bis scanning registry, wird dann extrem langsam und macht nix mehr ... 2. Online scan (benötigt der scan durchgehende Verbindung bzw fallen viele Daten an? Der Laptop ist auf malle und jeder MB kostet ne menge Die anderen beiden mach ich jetzt erstmal |
13.06.2013, 10:11 | #10 |
| Mehrere Troj-Funde in Recycle.Bin FRST FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 11-06-2013 03 Ran by Helmaduo (administrator) on 13-06-2013 11:05:29 Running from C:\Users\Helmaduo\Desktop\frst Windows Vista (TM) Home Premium Service Pack 1 (X86) OS Language: German Standard Internet Explorer Version 7 Boot Mode: Normal ==================== Processes (Whitelisted) =================== (Microsoft Corporation) C:\Windows\system32\SLsvc.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Apple Computer, Inc.) C:\Program Files\Bonjour\mDNSResponder.exe () C:\Windows\system32\ChgService.exe (Logitech Inc.) C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe (Nero AG) C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (TeamViewer GmbH) C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe (TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (TuneUp Software) C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (Intel Corporation) C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Conexant Systems, Inc.) C:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent.exe (Intel Corporation) C:\Windows\System32\igfxtray.exe (Intel Corporation) C:\Windows\System32\hkcmd.exe (Intel Corporation) C:\Windows\System32\igfxpers.exe (Microsoft Corporation) C:\Windows\WindowsMobile\wmdSync.exe (Avira Operations GmbH & Co. KG) C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Intel Corporation) C:\Windows\system32\igfxsrvc.exe (Microsoft Corporation) C:\Program Files\Windows Media Player\wmpnscfg.exe (MAGIX AG) C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe (Microsoft Corporation) C:\Windows\system32\conime.exe (Microsoft Corporation) C:\Windows\system32\msiexec.exe (Microsoft Corporation) C:\Windows\System32\mobsync.exe (Microsoft Corporation) C:\Windows\system32\wuauclt.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-02-11] (Intel Corporation) HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent.exe [474168 2009-04-02] (Conexant Systems, Inc.) HKLM\...\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe [215552 2008-01-21] (Microsoft Corporation) HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [345312 2013-05-09] (Avira Operations GmbH & Co. KG) HKCU\...\Policies\system: [DisableRegistryTools] 0 HKCU\...\Policies\system: [DisableTaskMgr] 0 HKU\Admin\...\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized [ 2010-05-13] (Skype Technologies S.A.) HKU\Gast\...\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode [ 2009-04-30] (Logitech Inc.) ==================== Internet (Whitelisted) ==================== HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL (Microsoft Corporation) Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL (Microsoft Corporation) Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies) ShellExecuteHooks: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2210608 2006-10-27] (Microsoft Corporation) Winsock: Catalog5 07 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.) Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 FireFox: ======== FF ProfilePath: C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default FF Homepage: hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF Plugin: @Google.com/GoogleEarthPlugin - C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF Plugin: @microsoft.com/WPF,version=3.5 - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @videolan.org/vlc,version=1.0.5 - C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi FF Extension: No Name - C:\Users\Helmaduo\AppData\Roaming\Mozilla\Firefox\Profiles\67mm093k.default\Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi ========================== Services (Whitelisted) ================= R2 AntiVirSchedulerService; C:\Program Files\Avira\AntiVir Desktop\sched.exe [86752 2013-04-16] (Avira Operations GmbH & Co. KG) R2 AntiVirService; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [110816 2013-04-16] (Avira Operations GmbH & Co. KG) S3 BFE; C:\Windows\System32\. [0 2013-06-13] () R2 Change Modem Device Service; C:\Windows\system32\ChgService.exe [135168 2009-03-12] () R2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe [1840128 2011-05-24] (MAGIX AG) S3 FirebirdServerMAGIXInstance; C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2702848 2011-04-26] (MAGIX®) S3 MpsSvc; C:\Windows\System32\. [0 2013-06-13] () S3 TuneUp.Defrag; C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe [435016 2010-03-18] (TuneUp Software) R2 TuneUp.UtilitiesSvc; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [1047880 2010-02-25] (TuneUp Software) ==================== Drivers (Whitelisted) ==================== R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [84744 2013-04-16] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [135136 2013-04-16] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [37352 2013-04-16] (Avira Operations GmbH & Co. KG) S3 cmnsusbser; C:\Windows\System32\DRIVERS\cmnsusbser.sys [103424 2008-10-31] (Mobile Connector) R3 L1C; C:\Windows\System32\DRIVERS\L1C60x86.sys [50176 2009-04-08] (Atheros Communications, Inc.) R3 LVPr2Mon; C:\Windows\System32\DRIVERS\LVPr2Mon.sys [25624 2009-04-30] () S4 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-03-18] (Duplex Secure Ltd.) R1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2013-04-16] (Avira GmbH) R3 TuneUpUtilitiesDrv; C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [10064 2010-02-25] (TuneUp Software) S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 IpInIp; system32\DRIVERS\ipinip.sys [x] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [x] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [x] ==================== NetSvcs (Whitelisted) =================== ==================== One Month Created Files and Folders ======== 2013-06-13 10:57 - 2013-06-13 10:57 - 00257408 ____A C:\Windows\msxml4-KB973685-enu.LOG 2013-06-12 14:25 - 2013-06-12 20:04 - 00000000 ____D C:\JRT 2013-06-12 14:25 - 2013-06-12 14:25 - 00000000 ____D C:\Windows\ERUNT 2013-06-12 14:19 - 2013-06-12 14:20 - 00001120 ____A C:\AdwCleaner[S2].txt 2013-06-12 14:18 - 2013-06-12 14:18 - 00890839 ____A C:\Users\Helmaduo\Desktop\SecurityCheck.exe 2013-06-12 14:17 - 2013-06-12 14:17 - 02347384 ____A (ESET) C:\Users\Helmaduo\Desktop\esetsmartinstaller_enu.exe 2013-06-12 14:17 - 2013-06-12 14:17 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Helmaduo\Desktop\JRT.exe 2013-06-12 11:47 - 2013-06-12 11:47 - 00010671 ____A C:\ComboFix.txt 2013-06-12 11:44 - 2013-06-12 11:44 - 00000360 ____A C:\Users\Helmaduo\Desktop\Download - Verknüpfung.lnk 2013-06-12 11:43 - 2013-06-12 11:43 - 00000000 ____D C:\Users\Helmaduo\Desktop\Wartung 2013-06-12 11:22 - 2011-06-26 08:45 - 00256000 ____A C:\Windows\PEV.exe 2013-06-12 11:22 - 2010-11-07 19:20 - 00208896 ____A C:\Windows\MBR.exe 2013-06-12 11:22 - 2009-04-20 06:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe 2013-06-12 11:22 - 2000-08-31 02:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe 2013-06-12 11:22 - 2000-08-31 02:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe 2013-06-12 11:22 - 2000-08-31 02:00 - 00098816 ____A C:\Windows\sed.exe 2013-06-12 11:22 - 2000-08-31 02:00 - 00080412 ____A C:\Windows\grep.exe 2013-06-12 11:22 - 2000-08-31 02:00 - 00068096 ____A C:\Windows\zip.exe 2013-06-12 11:17 - 2013-06-12 11:47 - 00000000 ____D C:\Qoobox 2013-06-12 11:16 - 2013-06-12 11:45 - 00000000 ____D C:\Windows\erdnt 2013-06-12 11:14 - 2013-06-12 11:15 - 05078680 ____R (Swearware) C:\Users\Helmaduo\Desktop\ComboFix.exe 2013-06-11 21:13 - 2013-06-12 11:48 - 00000000 ____D C:\Users\Helmaduo\Desktop\frst 2013-06-11 18:39 - 2013-06-11 21:17 - 00000000 ____D C:\FRST 2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable 2013-06-11 12:16 - 2013-06-11 12:17 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe 2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe 2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe 2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe 2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini 2013-06-11 11:02 - 2006-09-18 23:41 - 00000761 ____A C:\Windows\System32\Drivers\etc\hosts.20130611-110231.backup 2013-05-21 00:06 - 2013-05-21 00:07 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss 2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero ==================== One Month Modified Files and Folders ======== 2013-06-13 11:01 - 2008-01-21 09:16 - 01445136 ____A C:\Windows\System32\PerfStringBackup.INI 2013-06-13 10:58 - 2008-01-21 03:35 - 01921325 ____A C:\Windows\WindowsUpdate.log 2013-06-13 10:57 - 2013-06-13 10:57 - 00257408 ____A C:\Windows\msxml4-KB973685-enu.LOG 2013-06-13 10:48 - 2010-03-18 17:39 - 00001092 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2013-06-13 10:48 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 2013-06-13 10:48 - 2006-11-02 14:47 - 00004880 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 2013-06-13 10:47 - 2010-07-20 15:03 - 00000000 ____A C:\Windows\System32\Drivers\lvuvc.hs 2013-06-13 10:47 - 2006-11-02 15:01 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2013-06-12 23:20 - 2010-03-18 17:39 - 00001096 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2013-06-12 20:04 - 2013-06-12 14:25 - 00000000 ____D C:\JRT 2013-06-12 14:25 - 2013-06-12 14:25 - 00000000 ____D C:\Windows\ERUNT 2013-06-12 14:20 - 2013-06-12 14:19 - 00001120 ____A C:\AdwCleaner[S2].txt 2013-06-12 14:20 - 2006-11-02 15:01 - 00032628 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2013-06-12 14:18 - 2013-06-12 14:18 - 00890839 ____A C:\Users\Helmaduo\Desktop\SecurityCheck.exe 2013-06-12 14:17 - 2013-06-12 14:17 - 02347384 ____A (ESET) C:\Users\Helmaduo\Desktop\esetsmartinstaller_enu.exe 2013-06-12 14:17 - 2013-06-12 14:17 - 00545954 ____A (Oleg N. Scherbakov) C:\Users\Helmaduo\Desktop\JRT.exe 2013-06-12 11:49 - 2010-03-26 23:51 - 00000424 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{F322D62A-BB68-4FF1-AC26-2D9649AF848B}.job 2013-06-12 11:48 - 2013-06-11 21:13 - 00000000 ____D C:\Users\Helmaduo\Desktop\frst 2013-06-12 11:47 - 2013-06-12 11:47 - 00010671 ____A C:\ComboFix.txt 2013-06-12 11:47 - 2013-06-12 11:17 - 00000000 ____D C:\Qoobox 2013-06-12 11:47 - 2006-11-02 13:18 - 00000000 __RHD C:\users\Default 2013-06-12 11:47 - 2006-11-02 13:18 - 00000000 ___RD C:\users\Public 2013-06-12 11:45 - 2013-06-12 11:16 - 00000000 ____D C:\Windows\erdnt 2013-06-12 11:44 - 2013-06-12 11:44 - 00000360 ____A C:\Users\Helmaduo\Desktop\Download - Verknüpfung.lnk 2013-06-12 11:43 - 2013-06-12 11:43 - 00000000 ____D C:\Users\Helmaduo\Desktop\Wartung 2013-06-12 11:42 - 2006-11-02 12:23 - 00000215 ____A C:\Windows\system.ini 2013-06-12 11:39 - 2008-01-21 04:47 - 00082878 ____A C:\Windows\PFRO.log 2013-06-12 11:15 - 2013-06-12 11:14 - 05078680 ____R (Swearware) C:\Users\Helmaduo\Desktop\ComboFix.exe 2013-06-11 21:17 - 2013-06-11 18:39 - 00000000 ____D C:\FRST 2013-06-11 12:18 - 2013-06-11 12:18 - 00000020 ____A C:\Users\Helmaduo\defogger_reenable 2013-06-11 12:18 - 2010-03-21 22:23 - 00000000 ____D C:\users\Helmaduo 2013-06-11 12:17 - 2013-06-11 12:16 - 00377856 ____A C:\Users\Helmaduo\Desktop\gmer_2.1.19163.exe 2013-06-11 12:16 - 2013-06-11 12:16 - 00050477 ____A C:\Users\Helmaduo\Desktop\Defogger.exe 2013-06-11 12:15 - 2013-06-11 12:15 - 00602112 ____A (OldTimer Tools) C:\Users\Helmaduo\Desktop\OTL.exe 2013-06-11 11:56 - 2010-03-18 17:41 - 00000000 ____D C:\Users\Admin\AppData\Roaming\Skype 2013-06-11 11:54 - 2012-09-24 09:53 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2013-06-11 11:52 - 2010-07-31 10:37 - 00000000 ____D C:\Program Files\Common Files\DVDVideoSoft 2013-06-11 11:51 - 2013-06-11 11:51 - 00648201 ____A C:\Users\Helmaduo\Desktop\adwcleaner.exe 2013-06-11 11:37 - 2013-06-11 11:37 - 00000160 ____A C:\Windows\wininit.ini 2013-06-11 10:59 - 2010-03-18 17:19 - 00000000 ____D C:\Program Files\Mozilla Firefox 2013-06-11 10:54 - 2012-09-09 15:28 - 00000000 ____D C:\Program Files\Spybot - Search & Destroy 2013-06-07 11:35 - 2013-04-25 11:56 - 00000000 ____D C:\Users\Helmaduo\Desktop\Pool 2013-06-07 11:34 - 2012-09-26 20:01 - 00000000 ____D C:\Users\Helmaduo\Desktop\Neuer Ordner 2013-06-02 17:21 - 2006-11-02 12:24 - 73381792 ____A (Microsoft Corporation) C:\Windows\System32\mrt.exe 2013-05-22 15:44 - 2010-03-22 10:01 - 00000000 ____D C:\Users\Gast\AppData\Roaming\vlc 2013-05-22 15:44 - 2006-11-02 14:52 - 00096680 ____A C:\Windows\setupact.log 2013-05-21 00:07 - 2013-05-21 00:06 - 00000153 ____A C:\Users\Gast\AppData\Roaming\default.rss 2013-05-21 00:05 - 2013-05-21 00:05 - 00000000 ____D C:\Users\Gast\AppData\Local\Nero 2013-05-21 00:05 - 2011-07-02 21:51 - 00000000 ____D C:\Users\Gast\AppData\Roaming\Nero ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit LastRegBack: 2013-06-13 10:55 ==================== End Of Log ============================ Security-Scan |
13.06.2013, 11:03 | #11 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin Der Scan dauert schon ne weile. Lass den einfach weg. Noch Probleme?
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
13.06.2013, 12:09 | #12 |
| Mehrere Troj-Funde in Recycle.Bin Holla (wie der spanier sagen würde) die checkup.txt fehlte noch: Code:
ATTFilter Results of screen317's Security Check version 0.99.64 Windows Vista Service Pack 1 x86 Out of date service pack!! ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Spybot - Search & Destroy TuneUp Utilities TuneUp Utilities Language Pack (de-DE) TuneUp Utilities Adobe Flash Player 10 Flash Player out of Date! Adobe Flash Player 10.3.183.7 Flash Player out of Date! Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 20.0.1 Firefox out of Date! ````````Process Check: objlist.exe by Laurent```````` Avira Antivir avgnt.exe Avira Antivir avguard.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` Firefox und flash-player, sowie windows werden jetzt erstmal geupdated! |
13.06.2013, 18:33 | #13 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin Und Adobe auch . Dann wären wir fertig Die Reihenfolge ist hier entscheidend.
Falls Du Lob/Kritik loswerden möchtest: Lob, Kritik und Wünsche - Trojaner-Board Hier noch ein paar Tipps zur Absicherung deines Systems. Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
15.06.2013, 11:56 | #14 |
| Mehrere Troj-Funde in Recycle.Bin Vielen Vielen Dank! System läuft wieder stabil und sauber! Super hilfe und schnelle antworten! |
15.06.2013, 14:35 | #15 |
/// the machine /// TB-Ausbilder | Mehrere Troj-Funde in Recycle.Bin Gern Geschehen
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Mehrere Troj-Funde in Recycle.Bin |
admin, antivir, avira, cmd, dateien, daten, fehlermeldung, gmer, hoffe, interne, internet, laptop, löschen, manuell, ordner, recycle.bin, schonmal, seite, sofort, suche, trojaner, verschiedene, verweisen, virusmeldungen, woche, wochen, zugriff |