Win32:Dropper-LTG (Drp) - Noch da oder nicht?

enterprise · 04.04.2014, 17:28

Servus, ich bin etwas verunsichert. Denn bei Schritt 3 ist der Rechner beim ESET Scan nach ca. 50 Minuten plötzlich abgeschmiert. Ich schicke dir mal FRST und Hitman und warte, was du sagst. Soll ich mit den Schritten 3 und 4 weitermachen?

Viele Grüße. enterprise

FRST:

Code:

ATTFilter

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-03-2014
Ran by martin at 2014-04-03 21:17:08 Run:1
Running from C:\Users\martin\Desktop
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
start
ProxyServer: :0
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Task: {5036AD75-CCEA-4D8A-8FB4-31E1482142E6} - \Digital Sites No Task File
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5}" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5}" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ba20b5da-0f48-40c5-b8c9-2cda4ecf75c2}" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASAPI32" /f
Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASMANCS" /f
Reg: reg delete "HKEY_CURRENT_USER\S-1-5-21-4294004471-4141303439-88424932-1001\Software\adawaretb" /f
end
       
*****************

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => Value deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => Key deleted successfully.
HKCR\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => Key not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5036AD75-CCEA-4D8A-8FB4-31E1482142E6} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5036AD75-CCEA-4D8A-8FB4-31E1482142E6} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Digital Sites => Key deleted successfully.

========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5}" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5}" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ba20b5da-0f48-40c5-b8c9-2cda4ecf75c2}" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASAPI32" /f =========

Der Vorgang wurde erfolgreich beendet.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\Toolbar Cleaner uninstall_RASMANCS" /f =========

[CODE]

Code:

ATTFilter

HitmanPro 3.7.9.216
www.hitmanpro.com

   Computer name . . . . : MARTIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : martin-PC\martin
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2014-04-03 21:33:19
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 6m 42s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 24

   Objects scanned . . . : 1.731.639
   Files scanned . . . . : 53.652
   Remnants scanned  . . : 361.127 files / 1.316.860 keys

Cookies _____________________________________________________________________

   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.adnet.de
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.zanox.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads-lb.creative-serving.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:adtech.de
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:apmebf.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:eas.apm.emediate.eu
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:revsci.net
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:smartadserver.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:statse.webtrendslive.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:tradedoubler.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ww251.smartadserver.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.ad-srv.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.dyntracker.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.zanox.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:media6degrees.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:revsci.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ru4.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:smartadserver.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:track.adform.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:www.googleadservices.com

Code:

ATTFilter

HitmanPro 3.7.9.216
www.hitmanpro.com

   Computer name . . . . : MARTIN-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : martin-PC\martin
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2014-04-03 21:33:19
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 6m 42s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 24

   Objects scanned . . . : 1.731.639
   Files scanned . . . . : 53.652
   Remnants scanned  . . : 361.127 files / 1.316.860 keys

Cookies _____________________________________________________________________

   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.adnet.de
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.zanox.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads-lb.creative-serving.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:adtech.de
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:apmebf.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:eas.apm.emediate.eu
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:revsci.net
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:smartadserver.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:statse.webtrendslive.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:tradedoubler.com
   C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ww251.smartadserver.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.ad-srv.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.dyntracker.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ad.zanox.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:media6degrees.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:revsci.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:ru4.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:smartadserver.com
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:track.adform.net
   C:\Users\martin\AppData\Roaming\Mozilla\Firefox\Profiles\6pvzp2xy.default\cookies.sqlite:www.googleadservices.com

Servus, da bin ich schon wieder.

Irgendwie ist der Wurm drin. Heute morgen hat Avast einen Virus Win32:Malware-gen gemeldet. Bei einem bootscan wurde die Datei gelöscht. Fundort war die zoek.exe auf meinem deskdop. Schon merkwürdigt, nachdem der Rechner gestern bei dem ESET-Scan plötzlich ausgegangen ist.

Viele Grüße, enterprise

Servus, ich bin etwas verunsichert. Denn bei Schritt 3 ist der Rechner beim ESET Scan nach ca. 50 Minuten plötzlich abgeschmiert. Ich schicke dir mal FRST und Hitman und warte, was du sagst. Soll ich mit den Schritten 3 und 4 weitermachen?

Irgendwie ist der Wurm drin. Heute morgen hat Avast einen Virus Win32:Malware-gen gemeldet. Bei einem bootscan wurde die Datei gelöscht. Fundort war die zoek.exe auf meinem deskdop. Schon merkwürdigt, nachdem der Rechner gestern bei dem ESET-Scan plötzlich ausgegangen ist. Malwarebytes hat auch nichts mehr entdeckt.

Viele Grüße. enterprise

M-K-D-B · 04.04.2014, 17:58

Servus,

Zitat:

Zitat von enterprise

Irgendwie ist der Wurm drin. Heute morgen hat Avast einen Virus Win32:Malware-gen gemeldet. Bei einem bootscan wurde die Datei gelöscht. Fundort war die zoek.exe auf meinem deskdop. Schon merkwürdigt, nachdem der Rechner gestern bei dem ESET-Scan plötzlich ausgegangen ist.

das ist ein Fehlalarm von Avast!
Zoek ist legitim, das haben wir benutzt.

Weiter mit SecurityCheck bitte.

enterprise · 04.04.2014, 20:05

Guten Abend, hier die Logdatei von Security Check. Viele Grüße, enterprse

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.80  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
avast! Antivirus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Java 7 Update 51  
 Adobe Flash Player 12.0.0.77  
 Adobe Reader XI  
 Mozilla Firefox (28.0) 
 Mozilla Thunderbird (24.3.0) 
 Google Chrome 33.0.1750.146  
 Google Chrome 33.0.1750.154  
````````Process Check: objlist.exe by Laurent````````  
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast AvastUI.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````

M-K-D-B · 05.04.2014, 10:58

Servus,

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt 1
Die Reihenfolge ist hier entscheidend.

Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
- Windowstaste + R > Combofix /Uninstall (eingeben) > OK
- Alternative: Combofix.exe in uninstall.exe umbenennen und starten
- Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
- Schließe alle offenen Programme.
- Starte die delfix.exe mit einem Doppelklick.
- Setze vor jede Funktion ein Häkchen.
- Klicke auf Start.
- Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
- Starte deinen Rechner abschließend neu.
Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2
Abschließend habe ich noch ein paar Tipps zur Absicherung deines Systems.

Ich kann gar nicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti-Viren-Programm und zusätzlicher Schutz

Gehe sicher, dass du immer nur eine Anti-Viren Software installiert hast und dass diese auch up to date ist!
MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion bietet zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
AdwCleaner
Dieses Tool erkennt eine Vielzahl von Werbeprogrammen (Adware) und unerwümschten Programmen (PUPs).
Starte das Tool einmal die Woche und lass es laufen. Sollte eine neue Version verfügbar sein, so wird dies angezeigt und du kannst dir die neueste Version direkt auf den Desktop downloaden.
SpywareBlaster
Eine kurze Einführung findest du Hier
WOT (Web of trust)
Dieses AddOn warnt dich, bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Mozilla Firefox

Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
NoScript
Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt, wenn Du es bestätigst.
AdblockPlus
Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
Es spart außerdem Downloadkapazität.

Performance

Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von Registry Cleanern.
Diese Schaden deinem System mehr als dass sie helfen. Hier ein englischer Link:
Miekemoes Blogspot ( MVP )

Was du vermeiden solltest:

Klicke nicht auf alles, nur weil es dich dazu auffordert und schön bunt ist.
Verwende keine P2P oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie z.B. deinFoto.jpg.exe.
Lade keine Software von Softonic oder Chip herunter, da diese Installer oft mit Adware oder unerünschter Software versehen sind!

Nun bleibt mir nur noch dir viel Spaß beim sicheren Surfen zu wünschen... ... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

enterprise · 05.04.2014, 11:33

Hallo Matthias, ich finde es einfach traumhaft, wie du mir geholfen hast. Vielen Dank. Nicht nur, dass der Rechner wieder sauber ist - du hast mir auch noch ein paar wirklich wertvolle Tipps mit auf den Weg gegeben.

Ich fahre jetzt für eine Woche ins Ausland. Danach werde ich die abschließenden Schritte ausführen und dir anschlißend eine letzte Rückmeldung geben, damit du das Thema abschließen kannst.

Auf jeden Fall ist euch eine Spende meinerseits sicher. Deswegen auch noch die Frage: Kann man von euch eine Spendenbescheinigung erhalten?

Allerbeste Grüße, Hermann (enterprise)

M-K-D-B · 05.04.2014, 12:44

Zitat:

Zitat von enterprise

Ich fahre jetzt für eine Woche ins Ausland. Danach werde ich die abschließenden Schritte ausführen und dir anschlißend eine letzte Rückmeldung geben, damit du das Thema abschließen kannst.

Ok, dann lass ich das Thema noch bis zum 14. April offen.

Zitat:

Zitat von enterprise

Auf jeden Fall ist euch eine Spende meinerseits sicher. Deswegen auch noch die Frage: Kann man von euch eine Spendenbescheinigung erhalten?

Ich frag mal unseren Chef.

enterprise · 12.04.2014, 20:51

Hallo Matthias,

bin wieder zurück und habe alle deine Schritte ausgeführt. Darf ich mich wieder melden, falls wieder mal Probleme auftauchen sollten?

Dass ich für die Hilfe sehr, sehr dankbar bin, habe ich ja schon erwähnt. Und die Spende werde ich auf jeden Fall machen - mit Spendenbescheinigung wäre super, ohne ist aber auch kein Problem. Schick mir auf jeden Fall eine Kontonummer.

Dir persönlich möchte ich noch einmal für deine Geduld mit einem Laien danken. Das war wirklich etwas, das ich so noch nicht erlebt habe.

Alles Gute, Hermann (enterprise).

Win32:Dropper-LTG (Drp) - Noch da oder nicht?

Plagegeister aller Art und deren Bekämpfung: Win32:Dropper-LTG (Drp) - Noch da oder nicht?