Hallo,

Ich habe mir auch den virus, wie schon so viele vor mir , TR/Kazy.mekml.1 eingefangen.

Habe bereits mit Malware gescannt und gelöscht, aber anscheinden nicht erfolgreich, da der Virus noch imer auf meiner festplatte ist. Kann ich die Datein , die ich rette nmöchte, auf eine externe Festplatte spieln, ohne diese externe Festplatte zu infizieren?

Her noch die log Datei


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6509

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.05.2011 03:30:57
mbam-log-2011-05-05 (03-30-33).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167059
Laufzeit: 3 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
e:\dokumente und einstellungen\all users\anwendungsdaten\17948452.exe (Trojan.FakeAlert) -> 1988 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
e:\dokumente und einstellungen\Jürgen\startmenü\programme\windows recovery (Trojan.FakeAV) -> No action taken.

Infizierte Dateien:
e:\dokumente und einstellungen\all users\anwendungsdaten\17948452.exe (Trojan.FakeAlert) -> No action taken.
e:\dokumente und einstellungen\Jürgen\Desktop\windows recovery.lnk (Trojan.FakeAV) -> No action taken.
e:\dokumente und einstellungen\Jürgen\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> No action taken.
e:\dokumente und einstellungen\Jürgen\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> No action taken.

Bitte um weitere Anweisung

hi,
kannst du mir die mail zufälligerweise senden?
http://markusg.trojaner-board.de
würd mir den installer mal gern ansehen und auch an avira weiterleiten.
zu weiteren anweisungen kommen wir dann, ich kann damit gleich prüfen ob noch mehr malware instaliert wurde

Halllo,


die hab ich leider schon gelöscht.


Titel war irgendwas vom FBI und sie nutzen 40 nicht erlaubt adressen und ich Honk mach die auch noch auf.

ok, wir machen zur sicherheit einen check, dauert nicht lange.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo,

Nachdem ich das gemacht habe, zeigt mir der Destop einen grossteil der Vernüpfungen an, aber teilweise sind die Programme über "Start" leer, gehört das so und muss ich die jeztt alle neu installieren?


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-04.04 - XXXXX 05.05.2011  16:19:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.43.1031.18.3327.2630 [GMT 2:00]
ausgeführt von:: e:\downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
e:\dokumente und einstellungen\All Users\Anwendungsdaten\17948452.exe
e:\dokumente und einstellungen\All Users\Anwendungsdaten\MwSTSmMruioi.exe
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\1.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\a.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\b.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\c.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\d.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\e.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\f.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\g.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\h.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\i.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\J.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\k.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\l.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\m.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\mru.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\n.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\o.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\p.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\q.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\r.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\s.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\t.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\u.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\v.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\w.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\x.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\y.xml
e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\PriceGong\Data\z.xml
e:\dokumente und einstellungen\Jürgen\Startmenü\Programme\Windows Recovery
e:\dokumente und einstellungen\Jürgen\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk
e:\dokumente und einstellungen\Jürgen\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk
e:\dokumente und einstellungen\Jürgen\WINDOWS
O:\autorun.inf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-05 bis 2011-05-05  ))))))))))))))))))))))))))))))
.
.
2011-05-05 03:37 . 2011-05-05 03:52	--------	d-----w-	e:\windows\system32\NtmsData
2011-05-05 01:25 . 2011-05-05 01:25	--------	d-----w-	e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\Malwarebytes
2011-05-05 01:25 . 2010-12-20 16:09	38224	----a-w-	e:\windows\system32\drivers\mbamswissarmy.sys
2011-05-05 01:25 . 2011-05-05 01:25	--------	d-----w-	e:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-05 01:25 . 2011-05-05 03:11	--------	d-----w-	e:\programme\Malwarebytes' Anti-Malware
2011-05-05 01:25 . 2010-12-20 16:08	20952	---ha-w-	e:\windows\system32\drivers\mbam.sys
2011-05-05 00:15 . 2004-08-04 03:00	4224	---ha-w-	e:\windows\system32\beep.sys
2011-04-14 01:39 . 2011-04-14 01:39	103864	----a-w-	e:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-14 01:39 . 2011-04-14 01:39	103864	----a-w-	e:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2010-01-22 18:45	692736	---ha-w-	e:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2004-08-04 03:00	434176	---ha-w-	e:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 03:00	1858048	---ha-w-	e:\windows\system32\win32k.sys
2011-02-17 18:56 . 2004-08-04 03:00	832512	---ha-w-	e:\windows\system32\wininet.dll
2011-02-17 18:56 . 2004-08-04 03:00	1830912	---h--w-	e:\windows\system32\inetcpl.cpl
2011-02-17 18:56 . 2004-08-04 03:00	78336	---ha-w-	e:\windows\system32\ieencode.dll
2011-02-17 18:56 . 2004-08-04 03:00	17408	---h--w-	e:\windows\system32\corpol.dll
2011-02-17 13:18 . 2004-08-04 03:00	455936	---ha-w-	e:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-04 03:00	357888	---ha-w-	e:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 06:25	5632	---ha-w-	e:\windows\system32\xpsp4res.dll
2011-02-17 11:44 . 2004-08-04 03:00	389120	---ha-w-	e:\windows\system32\html.iec
2011-02-15 12:56 . 2004-08-04 03:00	290432	---ha-w-	e:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2004-08-04 03:00	270848	---ha-w-	e:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 03:00	186880	---ha-w-	e:\windows\system32\encdec.dll
2011-02-08 13:33 . 2004-08-04 03:00	978944	---ha-w-	e:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2004-08-04 03:00	974848	---ha-w-	e:\windows\system32\mfc42u.dll
2010-10-16 17:50 . 2010-10-29 17:53	3056008	----a-w-	e:\programme\Gemeinsame Dateien\AskToolbarInstaller.exe
2010-08-08 10:41 . 2010-08-08 10:41	328324136	----a-w-	e:\programme\windowsxp-kb936929-sp3-x86-deu_f2dcd2211384a78df215c696a7fd1a7949dc794b.exe
2010-01-26 16:11 . 2010-10-29 17:53	444283	----a-w-	e:\programme\Gemeinsame Dateien\WinPcapNmap.exe
2006-05-06 16:42 . 2010-01-22 21:02	7260160	----a-w-	e:\programme\mozilla firefox\plugins\libvlc.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "e:\programme\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "e:\programme\DVDVideoSoft\tbDVD2.dll" [2010-10-18 3908192]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26	3908192	----a-w-	e:\programme\ConduitEngine\ConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 20:44	1400712	----a-w-	e:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
2010-10-18 10:26	3908192	----a-w-	e:\programme\DVDVideoSoft\tbDVD2.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}"= "e:\programme\DVDVideoSoft\tbDVD2.dll" [2010-10-18 3908192]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "e:\programme\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}"= "e:\programme\DVDVideoSoft\tbDVD2.dll" [2010-10-18 3908192]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "e:\programme\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]
.
[HKEY_CLASSES_ROOT\clsid\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="e:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="e:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 16806912]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="e:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"PhonostarTimer"=e:\programme\phonostar\ps_timer.exe
"PhonostarAgent"=e:\programme\phonostar\ps_agent.exe
"MSMSGS"="e:\programme\Messenger\msmsgs.exe" /background
"CTFMON.EXE"=e:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"amd_dc_opt"=e:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="e:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"NvMediaCenter"=RUNDLL32.EXE e:\windows\system32\NvMcTray.dll,NvTaskbarInit
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe"
"AnyDVD"=e:\programme\SlySoft\AnyDVD\AnyDVD.exe
"CanonMyPrinter"=e:\programme\Canon\MyPrinter\BJMyPrt.exe /logon
"SunJavaUpdateSched"="e:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
"CanonSolutionMenu"=e:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"TkBellExe"="e:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programme\\Eidos\\Batman Arkham Asylum\\Binaries\\ShippingPC-BmGame.exe"=
"e:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"e:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"e:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"e:\\Programme\\SopCast\\SopCast.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"e:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"e:\\Programme\\Free Music Zilla\\FMZilla.exe"=
"e:\\Programme\\uTorrent\\uTorrent.exe"=
"e:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5432:TCP"= 5432:TCP:postgres
.
R1 BIOS;BIOS;e:\windows\system32\drivers\BIOS.sys [22.01.2010 22:30 13696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\Avira\AntiVir Desktop\sched.exe [22.01.2010 22:15 108289]
R2 DisplayLinkService;DisplayLink Service;e:\programme\DisplayLink Core Software\DisplayLinkService.exe [23.07.2008 13:59 443752]
R2 npf;NetGroup Packet Filter Driver;e:\windows\system32\drivers\npf.sys [27.01.2010 04:09 50704]
R2 postgresql-8.4;PostgreSQL Server 8.4;E:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "E:/Programme/PostgreSQL/8.4/data" -w --> E:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]
R3 DisplayLinkGA;DisplayLinkGA;e:\windows\system32\drivers\DisplayLinkGAport.sys [23.07.2008 14:00 20736]
R3 DisplayLinkmirror;DisplayLinkmirror;e:\windows\system32\drivers\DisplayLinkmirrorport.sys [23.07.2008 14:00 18816]
R3 DisplayLinkUsbPort;DisplayLink USB Device;e:\windows\system32\drivers\DisplayLinkUsbPort.sys [08.09.2010 19:43 20992]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;e:\windows\system32\drivers\nvhda32.sys [11.12.2007 15:30 30880]
S2 gupdate;Google Update Service (gupdate);e:\programme\Google\Update\GoogleUpdate.exe [03.02.2010 05:32 135664]
S3 gupdatem;Google Update-Dienst (gupdatem);e:\programme\Google\Update\GoogleUpdate.exe [03.02.2010 05:32 135664]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - NTMSSVC
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-05 e:\windows\Tasks\1-Klick-Wartung.job
- e:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]
.
2011-05-05 e:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-02-03 03:32]
.
2011-05-05 e:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- e:\programme\Google\Update\GoogleUpdate.exe [2010-02-03 03:32]
.
2011-05-05 e:\windows\Tasks\OGALogon.job
- e:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
2011-05-05 e:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-527237240-1958367476-839522115-1003.job
- e:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-05-05 e:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-527237240-1958367476-839522115-1003.job
- e:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-05-05 e:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- e:\programme\Ask.com\UpdateTask.exe [2010-09-28 20:44]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
uInternet Settings,ProxyOverride = *.local
IE: Create a Post-it® Note - e:\programme\3M\PDNotes\\PSNBookMark.html
IE: Nach Microsoft &Excel exportieren - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - e:\dokumente und einstellungen\Jürgen\Anwendungsdaten\Mozilla\Firefox\Profiles\8samrk40.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - e:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Skype extension: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - e:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - e:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - e:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - e:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - e:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: myBabylon English4 Toolbar: {fc600575-3013-4e8e-941c-4b00dafce730} - %profile%\extensions\{fc600575-3013-4e8e-941c-4b00dafce730}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: FoxTab: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} - %profile%\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: Split Browser: {29c4afe1-db19-4298-8785-fcc94d1d6c1d} - %profile%\extensions\{29c4afe1-db19-4298-8785-fcc94d1d6c1d}
FF - Ext: YouTube to MP3: youtube2mp3@mondayx.de - %profile%\extensions\youtube2mp3@mondayx.de
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: vShare Plugin: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_DE Community Toolbar: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - %profile%\extensions\{c840e246-6b95-475e-9bd7-caa1c7eca9f2}
FF - Ext: Modify Headers: {b749fc7c-e949-447f-926c-3f4eed6accfe} - %profile%\extensions\{b749fc7c-e949-447f-926c-3f4eed6accfe}
FF - Ext: TinEye Reverse Image Search: tineye@ideeinc.com - %profile%\extensions\tineye@ideeinc.com
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-MwSTSmMruioi - e:\dokumente und einstellungen\All Users\Anwendungsdaten\MwSTSmMruioi.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-05 16:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="E:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"E:/Programme/PostgreSQL/8.4/data\" -w"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="E:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"E:/Programme/PostgreSQL/8.4/data\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):54,3d,7d,fb,f0,7e,46,fb,0d,4d,94,bc,29,af,ca,b5,d7,38,19,d7,71,
   00,cc,3b,c9,b0,b0,a0,9f,3c,58,fc,f8,94,24,87,24,1a,83,c0,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@e:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="e:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{cde8ce32-e898-4cb8-8df5-d054f45f47e0}]
@Denied: (Full) (Everyone)
"Model"=dword:0000011c
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,29,53,01,52,53,ee,8c,54,8f,04,97,d7,86,9f,8c,ab,83,e0,8b,c5,07,bb,\
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|þ»Ñw*]
"7040110900063D11C8EF10054038389C"="E?\\WINDOWS\\system32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="E?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2011-05-05  16:23:54
ComboFix-quarantined-files.txt  2011-05-05 14:23
.
Vor Suchlauf: 1 Verzeichnis(se), 15.272.546.304 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 17.920.319.488 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F65C1FD6E054EDB80F792DE254137974
         

--- --- ---

bitte öffne mal den arbeitsplatz dann e:
dort rechtsklick auf qoobox und mit winrar oder zip packen.
archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

bitte schreibe das nächste mal was hier rein wenn ich dich um nen upload bitte, kann sonst auch passieren das du länger warten musst :-(
fange an mit der datensicherung, danach können wir, falls du das möchtest, deinen pc gemeinsam neu aufsetzen und richtig absichern.

Ich wusste nicht, das ich dir hier auch bescheid geben muss, habe den upload laut Anweisung gesendet und da ich dort eben den link eingegeben habe, dachte ich das wär so ok, sry bin neu hier und kennne die Abläufe noch nicht.

Was meinst du mit neu aufsetzen? formatieren? etc , also soll ich alle Daten auf eine externe Festplatte kopieren, weil Sie sonst im Zuge des neu aufsetzens gelöscht werden, weil eigentlich läuft er jetzt wieder wie zuvor oder Muss man noch weitere Schritte machen.

Kannst du mir bescheid geben, in welchem Zustand sich mein PC jetzt befindet. Ist er wieder in Ordnung oder folgen noch weitere Schritte, weil anscheinend befindet sich der Trojaner noc hauf meiner festplatte, aber wie bekomme ich diesen weg.

Und was genau meinst du mit Datensicherung? wäre nett wenn du auf meine Fragen eingehen könntest?

Danke

sorry hab deine antwort übersehen
ja, genau daten sichern, und dann windows neu instalieren nach formatierung.
weist du wie das mit dem formatieren läuft oder soll ich das dann in meiner anleitung mit aufnehmen, wenn ich dir erkläre wie du das system absicherst?

Ist vieleicht ne blöde Frage, aber muss ich neu formatieren denn soweit ich andere Einträge mit dem gleichen Problem gelesen habe, haben die nicht alle formatieren müssen und wenn es unausweichlich ist, bitte auch um eine Anleitung wie ich Daten sichere und formatiere.

Habe jetzt auch nochmal Malwarebytes drüberlaufen lassen und der hat keine infizierten Dateien mehr gefunden, darum meine Frage bzgl. des formatierens und neu aufsetzen.

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6520

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.05.2011 19:33:49
mbam-log-2011-05-06 (19-33-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 249625
Laufzeit: 58 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

wie läuft das system, welche probleme gibts noch?

Hallo,

So weit wieder normal, nur hab ich den Trojaner TR/Kazy.mekml.1, der nun laut Antivir, das ich nochmal laufen hab lassen in TR/Kazy.mekml.3 umgewandelt und befindet sich in der sogenannten "Quoobox", ich ich schon gestern, nach deiner Aufforderung gezippt geschickt habe.

1. Wie kann ich diese "Quoobox" entfernen, um den Trojaner endgültig von meiner Festplatte zu bekommen?
2. Soll ich jetzt neu formatieren oder doch nicht und wenn ja warum?
3. Soll ich meine Passwörter ändern?

Danke

die datei ist dort erst mal ungefährlich und wird später sammt combofix gelöscht.

lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.