Trojaner-Board - TR/PSW.Sinowal.Y.580

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/PSW.Sinowal.Y.580 - Antivir (https://www.trojaner-board.de/102209-tr-psw-sinowal-y-580-antivir.html)

Und nochmal:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

Folder::

c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History
 

File::

c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

3. Speichere im Notepad als CFScript.txt auf dem Desktop. (alte cfscript.txt überschreiben)

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

nach dem combo fix kam folgende meldung von anti vir :

sinowal wurde gefunden in

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\floadu1C.dll
[DETECTION] Is the TR/PSW.Sinowal.Y.580 Trojan

Combofix Logfile:

Code:

ComboFix 11-08-10.01 - ACER 10.08.2011  16:36:56.3.2 - x64

Microsoft Windows 7 Home Premium   6.1.7600.0.1252.49.1031.18.4091.2621 [GMT 2:00]

ausgeführt von:: c:\users\ACER\Desktop\ComboFix.exe

Benutzte Befehlsschalter :: c:\users\ACER\Desktop\CFScript.txt

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

FILE ::

"c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat"

"c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat"

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8BPM8TD2\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I0YWF2AV\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QAH1I852\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W1OTXGHD\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\desktop.ini

c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies

c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat . . . . Nicht in der Lage zu löschen

c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat . . . . Nicht in der Lage zu löschen

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-07-10 bis 2011-08-10  ))))))))))))))))))))))))))))))

.

.

2011-08-10 14:41 . 2011-08-10 14:41        --------        d-----w-        c:\users\Tino\AppData\Local\temp

2011-08-10 14:41 . 2011-08-10 14:41        --------        d-----w-        c:\users\postgres\AppData\Local\temp

2011-08-10 14:41 . 2011-08-10 14:41        --------        d-----w-        c:\users\Gast\AppData\Local\temp

2011-08-10 14:41 . 2011-08-10 14:41        --------        d-----w-        c:\users\Default\AppData\Local\temp

2011-08-10 11:15 . 2011-08-10 11:15        --------        d-----w-        c:\program files (x86)\Common Files\Java

2011-08-10 08:39 . 2011-08-10 08:39        --------        d-----w-        c:\users\ACER\AppData\Roaming\Avira

2011-08-10 08:31 . 2011-08-10 08:31        --------        d-----w-        c:\programdata\Avira

2011-08-10 08:31 . 2011-08-10 08:31        --------        d-----w-        c:\program files (x86)\Avira

2011-08-10 08:31 . 2011-07-20 09:30        83120        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2011-08-10 08:31 . 2011-07-20 09:30        116568        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2011-08-09 19:25 . 2011-08-09 19:25        --------        d-----w-        C:\_OTL

2011-08-09 16:31 . 2011-08-09 16:31        --------        d-----w-        c:\program files (x86)\ESET

2011-08-09 10:17 . 2011-07-13 04:53        8578896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{7F79980C-3A87-4F3F-B11F-D003AA238C7A}\mpengine.dll

2011-08-08 11:05 . 2011-08-08 11:05        --------        d-----w-        c:\users\ACER\AppData\Roaming\Malwarebytes

2011-08-08 11:05 . 2011-07-06 17:52        41272        ----a-w-        c:\windows\SysWow64\drivers\mbamswissarmy.sys

2011-08-08 11:05 . 2011-08-08 11:05        --------        d-----w-        c:\programdata\Malwarebytes

2011-08-08 11:05 . 2011-08-08 11:05        --------        d-----w-        c:\program files (x86)\Malwarebytes' Anti-Malware

2011-08-08 11:05 . 2011-07-06 17:52        25912        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-29 22:29 . 2011-07-08 07:31        142296        ----a-w-        c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll

2011-07-29 22:29 . 2011-07-08 07:31        89048        ----a-w-        c:\program files (x86)\Mozilla Firefox\libEGL.dll

2011-07-29 22:29 . 2011-07-08 07:31        781272        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll

2011-07-29 22:29 . 2011-07-08 07:31        465880        ----a-w-        c:\program files (x86)\Mozilla Firefox\libGLESv2.dll

2011-07-29 22:29 . 2011-07-08 07:31        1850328        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozjs.dll

2011-07-29 22:29 . 2011-07-08 07:31        15832        ----a-w-        c:\program files (x86)\Mozilla Firefox\mozalloc.dll

2011-07-29 22:29 . 2010-01-01 08:00        2106216        ----a-w-        c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll

2011-07-29 22:29 . 2010-01-01 08:00        1998168        ----a-w-        c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll

2011-07-28 19:31 . 2011-05-04 02:52        476904        ----a-w-        c:\program files (x86)\Mozilla Firefox\plugins\npdeployJava1.dll

2011-07-28 19:31 . 2011-05-04 02:52        472808        ----a-w-        c:\windows\SysWow64\deployJava1.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-06 19:17 . 2011-06-06 19:17        404640        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-06-02 05:56 . 2011-07-13 16:37        44032        ----a-w-        c:\windows\apppatch\acwow64.dll

2011-05-28 03:25 . 2011-06-15 19:29        1638912        ----a-w-        c:\windows\system32\mshtml.tlb

2011-05-28 03:00 . 2011-06-15 19:29        1638912        ----a-w-        c:\windows\SysWow64\mshtml.tlb

2011-05-24 17:14 . 2010-04-01 15:53        270720        ------w-        c:\windows\system32\MpSigStub.exe

2011-05-24 11:21 . 2011-06-29 09:47        404992        ----a-w-        c:\windows\system32\umpnpmgr.dll

2011-05-24 10:34 . 2011-06-29 09:47        44544        ----a-w-        c:\windows\SysWow64\devrtl.dll

2011-05-24 10:34 . 2011-06-29 09:47        64512        ----a-w-        c:\windows\SysWow64\devobj.dll

2011-05-24 10:34 . 2011-06-29 09:47        145920        ----a-w-        c:\windows\SysWow64\cfgmgr32.dll

2011-05-24 10:32 . 2011-06-29 09:47        252928        ----a-w-        c:\windows\SysWow64\drvinst.exe

.

.

(((((((((((((((((((((((((((((   SnapShot@2011-08-10_10.15.21   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-22 05:15 . 2011-08-10 14:44        42470              c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2009-07-14 05:10 . 2011-08-10 14:44        43214              c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin

+ 2010-04-01 15:44 . 2011-08-10 14:44        13064              c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2807011566-3272660138-127533724-1000_UserData.bin

+ 2010-03-23 17:05 . 2011-08-10 14:09        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2010-03-23 17:05 . 2011-08-10 10:17        16384              c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2010-03-23 17:05 . 2011-08-10 14:09        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2010-03-23 17:05 . 2011-08-10 10:17        16384              c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2011-08-10 14:42 . 2011-08-10 14:42        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2011-08-10 10:14 . 2011-08-10 10:14        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2011-08-10 10:14 . 2011-08-10 10:14        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2011-08-10 14:42 . 2011-08-10 14:42        2048              c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2011-08-10 11:15 . 2011-05-04 02:52        157472              c:\windows\SysWOW64\javaws.exe

+ 2011-08-10 11:15 . 2011-05-04 02:52        145184              c:\windows\SysWOW64\javaw.exe

- 2011-07-28 19:31 . 2010-04-12 15:29        145184              c:\windows\SysWOW64\javaw.exe

- 2011-07-28 19:31 . 2010-04-12 15:29        145184              c:\windows\SysWOW64\java.exe

+ 2011-08-10 11:15 . 2011-05-04 02:52        145184              c:\windows\SysWOW64\java.exe

- 2009-07-14 05:01 . 2011-08-10 10:13        390348              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat

+ 2009-07-14 05:01 . 2011-08-10 14:41        390348              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat

+ 2011-08-06 23:19 . 2011-08-10 14:41        391116              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2807011566-3272660138-127533724-1000-8192.dat

- 2011-08-06 23:19 . 2011-08-10 10:13        391116              c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-2807011566-3272660138-127533724-1000-8192.dat

+ 2011-08-10 11:15 . 2011-08-10 11:15        207360              c:\windows\Installer\2b9279.msi

+ 2007-10-31 17:48 . 2007-10-31 17:48        679936              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA7FFFFB7449A0100000010\9.1.0\icucnv36.dll

+ 2009-07-14 02:34 . 2011-08-10 13:19        10223616              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT

- 2009-07-14 02:34 . 2011-08-10 08:28        10223616              c:\windows\system32\SMI\Store\Machine\SCHEMA.DAT

+ 2010-09-23 13:12 . 2010-09-23 13:12        28854784              c:\windows\Installer\2c416.msp

+ 2011-01-31 10:45 . 2011-01-31 10:45        11135488              c:\windows\Installer\2c415.msp

+ 2011-06-08 04:39 . 2011-06-08 04:39        19798016              c:\windows\Installer\2c414.msp

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]

@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"

[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]

2009-08-07 09:18        120104        ----a-w-        c:\program files (x86)\EgisTec\MyWinLocker 3\x86\PSDProtect.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2010-03-09 26100520]

"ICQ"="e:\programme\ICQ7.1\ICQ.exe" [2011-01-05 133432]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-06-08 37296]

"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-08-21 261888]

"EgisTecLiveUpdate"="c:\program files (x86)\EgisTec Egis Software Update\EgisUpdate.exe" [2009-08-04 199464]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]

"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages        REG_MULTI_SZ           kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\DRIVERS\cmnsusbser.sys [x]

R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-06-18 50432]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [x]

R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]

S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [x]

S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [x]

S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]

S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2011-04-21 136360]

S2 Greg_Service;GRegService;c:\program files (x86)\Acer\Registration\GregHSRW.exe [2009-06-04 1150496]

S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]

S2 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe [2009-08-07 311592]

S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-08-21 62720]

S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-06-18 144640]

S2 pgsql-8.3;PostgreSQL Database Server 8.3;e:\programme\PostgresSQL\bin\pg_ctl.exe [2009-12-10 65536]

S2 TeamViewer5;TeamViewer 5;c:\program files (x86)\TeamViewer\Version5\TeamViewer_Service.exe [2009-11-27 185640]

S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2009-07-04 240160]

S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [x]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]

S3 NETw5s64;Intel(R) Wireless WiFi Link Adaptertreiber für Windows 7 64-Bit;c:\windows\system32\DRIVERS\NETw5s64.sys [x]

S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]

@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"

[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]

2009-08-07 09:19        137512        ----a-w-        c:\program files (x86)\EgisTec\MyWinLocker 3\x64\PSDProtect.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904]

"mwlDaemon"="c:\program files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-08-07 349480]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 16395880]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-05 8060960]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360310a916l0328z145t5811y589

uLocal Page = c:\windows\system32\blank.htm

mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&m=aspire_7736&r=27360310a916l0328z145t5811y589

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000

IE: Free YouTube to Mp3 Converter - c:\users\ACER\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - e:\programme\ICQ7.1\ICQ.exe

TCP: DhcpNameServer = 83.169.184.161 83.169.184.225

FF - ProfilePath - c:\users\ACER\AppData\Roaming\Mozilla\Firefox\Profiles\716yj9pc.default\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

Toolbar-Locked - (no file)

.

.

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10b.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10b.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{0BE09CC1-42E0-11DD-AE16-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10b.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]

@Denied: (A 2) (Everyone)

@="IFlashBroker2"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe

c:\program files (x86)\EgisTec\MyWinLocker 3\x86\MWLService.exe

e:\programme\PostgresSQL\bin\postgres.exe

c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe

e:\programme\PostgresSQL\bin\postgres.exe

e:\programme\PostgresSQL\bin\postgres.exe

e:\programme\PostgresSQL\bin\postgres.exe

e:\programme\PostgresSQL\bin\postgres.exe

e:\programme\PostgresSQL\bin\postgres.exe

c:\program files (x86)\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2011-08-10  16:48:30 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2011-08-10 14:48

ComboFix2.txt  2011-08-10 13:15

ComboFix3.txt  2011-08-10 10:21

.

Vor Suchlauf: 18 Verzeichnis(se), 48.733.749.248 Bytes frei

Nach Suchlauf: 19 Verzeichnis(se), 48.442.646.528 Bytes frei

.

- - End Of File - - 11D7B6704292B857FED0AB19C5AED5B7

--- --- ---

Zitat:

sinowal wurde gefunden in

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\floadu1C.dll

Das ist ok. C:\_OTL ist die Q von OTL! Die Datei ist dort isoliert und NICHT aktiv!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

aswMBR version 0.9.8.978 Copyright(c) 2011 AVAST Software
Run date: 2011-08-10 17:10:04
-----------------------------
17:10:04.481 OS Version: Windows x64 6.1.7600
17:10:04.482 Number of processors: 2 586 0x170A
17:10:04.482 ComputerName: ACER-PC UserName: ACER
17:10:05.513 Initialize success
17:10:53.390 AVAST engine defs: 11081000
17:11:31.759 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
17:11:31.764 Disk 0 Vendor: Hitachi_ PB4O Size: 476940MB BusType: 3
17:11:31.786 Disk 0 MBR read successfully
17:11:31.790 Disk 0 MBR scan
17:11:31.797 Disk 0 Windows VISTA default MBR code
17:11:31.802 Service scanning
17:11:33.020 Modules scanning
17:11:33.026 Disk 0 trace - called modules:
17:11:33.052 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys
17:11:33.057 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80047b0060]
17:11:33.062 3 CLASSPNP.SYS[fffff8800141743f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800469b050]
17:11:34.404 AVAST engine scan C:\Windows
17:11:38.016 AVAST engine scan C:\Windows\system32
17:13:03.061 AVAST engine scan C:\Windows\system32\drivers
17:13:11.574 AVAST engine scan C:\Users\ACER
17:20:30.765 AVAST engine scan C:\ProgramData
17:21:10.291 Scan finished successfully
17:21:48.738 Disk 0 MBR has been saved successfully to "C:\Users\ACER\Desktop\MBR.dat"
17:21:48.743 The log file has been saved successfully to "C:\Users\ACER\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ich führe gerade die scans durch. soll ich die bedrohungen nach dem ende der scans eigentlich löschen oder ignorieren ?

Steht eigentlich alles in den Anleitungen. Funde bei Malwarebytes alle löschen, bei den anderen beiden erstmal nur die Ergebnisse zeigen.

Code:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org
 

Datenbank Version: 7432
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

11.08.2011 11:04:32

mbam-log-2011-08-11 (10-59-17).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)

Durchsuchte Objekte: 392614

Laufzeit: 49 Minute(n), 2 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\Qoobox\quarantine\C\Users\ACER\floadu1c.dll.vir (Trojan.FakeAlert) -> No action taken.

c:\_OTL\movedfiles\08092011_212532\C_Users\ACER\floadu1C.dll (Trojan.FakeAlert) -> No action taken.

c:\_OTL\movedfiles\08092011_212532\C_Users\ACER\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\scanidiskr65.dll (Trojan.FakeAlert) -> No action taken.

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 08/11/2011 at 01:30 PM
 

Application Version : 4.56.1000
 

Core Rules Database Version : 7547

Trace Rules Database Version: 5359
 

Scan type       : Complete Scan

Total Scan Time : 02:19:08
 

Memory items scanned      : 624

Memory threats detected   : 0

Registry items scanned    : 14149

Registry threats detected : 0

File items scanned        : 191540

File threats detected     : 55
 

Adware.Tracking Cookie

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@ad4.adfarm1.adition[3].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@adbrite[3].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@tradedoubler[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@ad.yieldmanager[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@invitemedia[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@imrworldwide[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@tracking.quisma[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@doubleclick[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@smartadserver[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@pro-market[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@ad2.adfarm1.adition[3].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@ad3.adfarm1.adition[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@atdmt[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@content.yieldmanager[4].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@mediaplex[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@apmebf[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@adx.chip[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@content.yieldmanager[2].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@adfarm1.adition[1].txt

        C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Cookies\acer@serving-sys[1].txt

        adserv.quality-channel.de [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        akamai.smartadserver.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        bc.youporn.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        cdn.eyewonder.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        cdn1.eyewonder.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        cdn5.specificclick.net [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        cloud.video.unrulymedia.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        counter.cam-content.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        di.trackitdown.net [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        ds.serving-sys.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        files.youporn.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        ia.media-imdb.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        imagesrv.adition.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        macromedia.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        media-ti.pictela.net [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        media.mtvnservices.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        media.rofl.to [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        media.scanscout.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        media1.break.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        mediadb.kicker.de [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        pubhdstats2.msvp.net [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        s0.2mdn.net [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        secure-uk.imrworldwide.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        secure-us.imrworldwide.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        static.sunporno.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        static.youporn.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        vht.tradedoubler.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        www.99counters.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        www.deucescracked.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        www.naiadsystems.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        www.partypoker.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]

        www.sexkiste.com [ C:\Users\ACER\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\JBAR2QH6 ]
 

Trojan.Agent/Gen-Nightmn

        C:\QOOBOX\QUARANTINE\C\USERS\ACER\FLOADU1C.DLL.VIR

        C:\_OTL\MOVEDFILES\08092011_212532\C_USERS\ACER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\SCANIDISKR65.DLL

        C:\_OTL\MOVEDFILES\08092011_212532\C_USERS\ACER\FLOADU1C.DLL

Code:

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=12

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=53955ed3689432458e200c3ae7354adf

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-08-09 06:00:58

# local_time=2011-08-09 08:00:58 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=1797 16775165 100 94 203026 49448472 21524 0

# compatibility_mode=5893 16776574 100 94 22946 64537866 0 0

# compatibility_mode=8192 67108863 100 0 504 504 0 0

# scanned=167213

# found=6

# cleaned=0

# scan_time=4843

C:\Users\ACER\floadu1C.dll        a variant of Win32/Kryptik.QYV trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\ACER\AppData\Local\Temp\jar_cache4021375851548926749.tmp        a variant of Java/TrojanDownloader.OpenStream.NAV trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\9e1402-62bffb19        probably a variant of Win32/Agent.KYOMCBX trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\9e1402-63539567        Java/TrojanDownloader.Agent.NBY trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\b9b001d-337fde30        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\Users\ACER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\scanidiskr65.dll        a variant of Win32/Kryptik.QYV trojan (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=53955ed3689432458e200c3ae7354adf

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-08-11 01:23:51

# local_time=2011-08-11 03:23:51 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.1.7600 NT 

# compatibility_mode=1797 16775165 100 94 91804 49599604 90687 0

# compatibility_mode=5893 16776574 100 94 177985 64692905 0 0

# compatibility_mode=8192 67108863 100 0 155543 155543 0 0

# scanned=189736

# found=4

# cleaned=0

# scan_time=5978

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\AppData\Local\Temp\jar_cache4021375851548926749.tmp        a variant of Java/TrojanDownloader.OpenStream.NAV trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\9e1402-62bffb19        probably a variant of Win32/Agent.KYOMCBX trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\9e1402-63539567        Java/TrojanDownloader.Agent.NBY trojan (unable to clean)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\08092011_212532\C_Users\ACER\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\b9b001d-337fde30        multiple threats (unable to clean)        00000000000000000000000000000000        I

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Entfern auch bitte alles was SASW gefunden hat.

Zitat:

C:\_OTL

Diesen Ordner kannst du nun manuell löschen.
Wenn sonst wieder alles ok ist, wären wir durch oder hast noch was offen?

nein nichts mehr! vielen dank für deine hilfe!!!!

sollte ich noch anti spyware deinstallieren?
passwörter für bank etc ändern?

nochmals danke !

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

hallo, ich muss leider nochmal etwas fragen:

gestern abend ist der laptop einfach im betrieb ausgegangen. vorher lief er mehrere stunden nachdem wir fertig waren ohne probleme und aufälligkeiten.

jetzt geht er nicht mehr an. weder mit akku noch mit netzteil. ist wie tot..

kann das in zusammenhang stehen mit unserem fix, oder ist das zufall?
der laptop war vor 3 monaten schonmal zur reparatur, vielleicht hängt das auch damit zusammen. wollt nur mal nachfragen ob das auch mit dem virus zusammen hängen könnte...

werd den laptop montag einschicken...