Trojaner-Board - Windows Blockierung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Blockierung - 50 Euro Trojaner (https://www.trojaner-board.de/107079-windows-blockierung-50-euro-trojaner.html)

Windows Blockierung - 50 Euro Trojaner

Hallo

ich habe mir diesen Trojaner nun ebenfalls eingefangen. Hefitg wie das Teil rumkommt.

Anbei die logfiles und im Voraus schonmal ein riesiges Dankeschön!

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKCU..\Run: [{C0FB8BB8-2500-11E1-BD03-806E6F6E6963}] C:\Users\CRX\AppData\Roaming\Microsoft\dllhsts.exe (Mozilla Foundation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

 :Files

C:\Users\CRX\AppData\Roaming\Microsoft\dllhsts.exe

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

öffne computer, öffne D: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo

Alles gemacht, hier der Inhalt der txt-Datei:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{C0FB8BB8-2500-11E1-BD03-806E6F6E6963} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C0FB8BB8-2500-11E1-BD03-806E6F6E6963}\ not found.
C:\Users\CRX\AppData\Roaming\Microsoft\dllhsts.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: CRX
->Flash cache emptied: 59379 bytes

User: Default
->Flash cache emptied: 56502 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: CRX
->Temp folder emptied: 14007240 bytes
->Temporary Internet Files folder emptied: 188840862 bytes
->Java cache emptied: 103981 bytes
->FireFox cache emptied: 304609375 bytes
->Flash cache emptied: 0 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 84897755 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 94312 bytes
RecycleBin emptied: 11439308747 bytes

Total Files Cleaned = 11.474,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 12292011_155407

Files\Folders moved on Reboot...
C:\Users\CRX\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\CRX\AppData\Local\Temp\~DF16F60DDDA1C730DE.TMP not found!
File\Folder C:\Users\CRX\AppData\Local\Temp\~DF6DD4B9AD40A4997B.TMP not found!
File\Folder C:\Users\CRX\AppData\Local\Temp\~DF83F548E91210AD43.TMP not found!
File\Folder C:\Users\CRX\AppData\Local\Temp\~DF956968E1C74746C1.TMP not found!
File\Folder C:\Users\CRX\AppData\Local\Temp\~DFAE5B75F36E26720E.TMP not found!
File\Folder C:\Users\CRX\AppData\Local\Temp\~DFD627DE9D7F473F08.TMP not found!

Registry entries deleted on Reboot...

nö alles ist nicht gemacht worden, ich warte noch auf den upload im upload channel

ok danke
weiter hiermit:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo

Vielen Dank. Ich hatte gestern leider keine Zeit mehr. Ich habe die Logdatei gerade im Upload channel hochgeladen. Zur Sicherheit hier auch nochmal angehangen.

MfG
Holger

logs bitte nicht im upload channel hochladen, der ist nur für verdächtige dateien, steht ja auch in der anleitung :-)
sieht aber gut aus schon mal

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

So, Malware ist durchgelaufen, schaut ja gut aus:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.30.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CRX :: CRX-VAIO [Administrator]

Schutz: Aktiviert

30.12.2011 13:03:14
mbam-log-2011-12-30 (13-03-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 375568
Laufzeit: 41 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

kann man nicht meckern
öffne otl, klicke bereinigen, pc startet neu, löscht removal tools.
jetzt räumen wir noch auf, und sichern den pc ab.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.14.1616
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

So, erstmal ein frohes neues Jahr. Ich hatte leider direkt zum Jahreswechsel nen defekten router, passt ja^^

So, hier die Liste. Ist eigentlich alles unbekannt, ausser die siedler, winamp, windvd und firefox. der laptop ist noch nicht so alt, das da viel drauf wäre.
Seltsam sind diese komischen, vermutlich russischen zeichen...

ActiveX контрола на Windows Live Mesh за отдалечени връзки Microsoft Corporation 05.09.2011 5,57MB 15.4.5722.2
ActiveX-kontroll för fjärranslutningar för Windows Live Mesh Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Adobe AIR Adobe Systems Inc. 05.09.2011 2.5.1.17730
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 05.09.2011 2,72MB 10.2.152.26
Adobe Flash Player 11 Plugin 64-bit Adobe Systems Incorporated 13.12.2011 6,00MB 11.1.102.55
Adobe Reader X MUI Adobe Systems Incorporated 05.09.2011 471MB 10.0.0
Alps Pointing-device for VAIO ALPS ELECTRIC CO., LTD. 05.09.2011
ArcSoft Magic-i Visual Effects 2 ArcSoft 11.12.2011 69,5MB 2.0.1.142
ArcSoft WebCam Companion 4 ArcSoft 11.12.2011 81,3MB 4.0.21.392
Audials RapidSolution Software AG 12.12.2011 275MB 9.0.52611.1100
Bing Bar Microsoft Corporation 05.09.2011 24,4MB 7.0.610.0
Bluetooth Win7 Suite (64) Atheros Communications 05.09.2011 74,5MB 7.3.0.100
CCleaner Piriform 05.01.2012 3.14
Conexant HD Audio Conexant 05.09.2011 8.54.0.53
Control ActiveX Windows Live Mesh pentru conexiuni la distanță Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Controlo ActiveX do Windows Live Mesh para Ligações Remotas Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Contrôle ActiveX Windows Live Mesh pour connexions à distance Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Corel WinDVD Corel Inc. 05.09.2011 256MB 10.0.5.800
Die Siedler - Aufbruch der Kulturen 19.12.2011
Download Updater (AOL LLC) 12.12.2011
Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Intel(R) Control Center Intel Corporation 06.09.2011 1.2.1.1007
Intel(R) Management Engine Components Intel Corporation 06.09.2011 7.0.0.1144
Intel(R) Rapid Storage Technology Intel Corporation 06.09.2011 10.0.0.1046
Java(TM) 6 Update 22 Oracle 05.09.2011 97,1MB 6.0.220
Java(TM) 6 Update 22 (64-bit) Oracle 05.09.2011 90,7MB 6.0.220
Malwarebytes Anti-Malware Version 1.60.0.1800 Malwarebytes Corporation 29.12.2011 18,6MB 1.60.0.1800
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 10.02.2011 38,8MB 4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 05.09.2011 2,94MB 4.0.30319
Microsoft .NET Framework 4 Extended Microsoft Corporation 10.02.2011 52,0MB 4.0.30319
Microsoft .NET Framework 4 Extended DEU Language Pack Microsoft Corporation 05.09.2011 10,7MB 4.0.30319
Microsoft Office 2010 Microsoft Corporation 05.09.2011 6,31MB 14.0.4763.1000
Microsoft Office Klick-und-Los 2010 Microsoft Corporation 15.12.2011 14.0.4763.1000
Microsoft Office Starter 2010 - Deutsch Microsoft Corporation 15.12.2011 14.0.4763.1000
Microsoft Silverlight Microsoft Corporation 15.12.2011 60,3MB 4.0.60831.0
Microsoft SQL Server 2005 Compact Edition [ENU] Microsoft Corporation 05.09.2011 1,70MB 3.1.0000
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 15.12.2011 0,29MB 8.0.61001
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 12.12.2011 0,59MB 9.0.30729.6161
Mozilla Firefox 8.0.1 (x86 de) Mozilla 12.12.2011 34,9MB 8.0.1
MSXML 4.0 SP3 Parser Microsoft Corporation 05.09.2011 1,48MB 4.30.2100.0
MSXML 4.0 SP3 Parser (KB973685) Microsoft Corporation 13.12.2011 1,53MB 4.30.2107.0
NVIDIA 3D Vision Treiber 267.21 NVIDIA Corporation 05.09.2011 267.21
NVIDIA Grafiktreiber 267.21 NVIDIA Corporation 05.09.2011 267.21
NVIDIA HD-Audiotreiber 1.2.19.0 NVIDIA Corporation 05.09.2011 1.2.19.0
NVIDIA PhysX-Systemsoftware 9.10.0514 NVIDIA Corporation 05.09.2011 9.10.0514
Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
PMB Sony Corporation 05.09.2011 283MB 5.5.02.12220
Realtek PCIE Card Reader Realtek Semiconductor Corp. 05.09.2011 6.1.7600.77
Skype™ 5.1 Skype Technologies S.A. 05.09.2011 22,6MB 5.1.104
Uzak Bağlantılar İçin Windows Live Mesh ActiveX Denetimi Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
VAIO - Media Gallery Sony Corporation 05.09.2011 1.5.0.16020
VAIO - PMB VAIO Edition Guide Sony Corporation 05.09.2011 72,4MB 1.6.00.06030
VAIO - PMB VAIO Edition Plug-in Sony Corporation 05.09.2011 193,4MB 1.6.00.06140
VAIO - Remote Play mit PlayStation®3 Sony Corporation 05.09.2011 1.1.0.15070
VAIO - Remote-Tastatur Sony Corporation 06.09.2011 1.0.1.03020
VAIO Care Sony Corporation 12.12.2011 6.4.2.11150
VAIO Control Center Sony Corporation 05.09.2011 4.5.0.03040
VAIO Data Restore Tool Sony Corporation 05.09.2011 1.6.0.13140
VAIO Easy Connect Sony Corporation 05.09.2011 1.0.0.03050
VAIO Event Service Sony Corporation 05.09.2011 5.5.0.03040
VAIO Gate Sony Corporation 05.09.2011 2.3.0.11090
VAIO Gate Default Sony Corporation 05.09.2011 2.4.0.03240
VAIO Hero Screensaver - Summer 2011 Screensaver 11.12.2011
VAIO Improvement Sony Corporation 05.09.2011 1.0.0.14150
VAIO Improvement Validation Sony Corporation 05.09.2011 0,48MB 1.0.4.01190
VAIO Quick Web Access Sony Corporation 05.09.2011 335MB 1.4.5.3
VAIO Sample Contents Sony Corporation 05.09.2011 1.4.2.09010
VAIO Smart Network Sony Corporation 05.09.2011 3.5.0.02280
VAIO Update Sony Corporation 12.12.2011 5.5.3.10280
VAIO-Handbuch Sony Corporation 05.09.2011 2.0.0.02250
VAIO-Support für Übertragungen Sony Corporation 05.09.2011 1.4.0.14230
VLC media player 1.1.11 VideoLAN 12.12.2011 1.1.11
Winamp Nullsoft, Inc 12.12.2011 5.623
Winamp Erkennungs-Plug-in Nullsoft, Inc 12.12.2011 75,00KB 1.0.0.1
Winamp Toolbar 12.12.2011
Windows Live Essentials Microsoft Corporation 06.09.2011 15.4.3508.1109
Windows Live Mesh - ActiveX-besturingselement voor externe verbindingen Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Mesh ActiveX Control for Remote Connections Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Mesh ActiveX control for remote connections Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Mesh ActiveX-kontroll for eksterne tilkoblinger Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Mesh ActiveX-objekt til fjernforbindelser Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Windows Live Meshin etäyhteyksien ActiveX-komponentti Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Στοιχείο ελέγχου ActiveX του Windows Live Mesh για απομακρυσμένες συνδέσεις Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Елемент керування Windows Live Mesh ActiveX для віддалених підключень Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2
Элемент управления Windows Live Mesh ActiveX для удаленных подключений Microsoft Corporation 05.09.2011 5,38MB 15.4.5722.2

deinstalire:
ActiveX контрола на Windows Live Mesh
ActiveX-kontroll
Adobe Flash Player alle
Adobe - Andere Version des Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Bing
Control ActiveX
Controlo ActiveX
Contrôle ActiveX
Corel WinDVD
Formant ActiveX
Java alle versionen
Download der kostenlosen Java-Software
downloade java jre instalieren

Ovládací beide
Uzak Bağlantılar
Windows Live falls davon nichts genutzt wird alle weg

öffne otl klicke bereinigen, pc startet neu, löscht verwendete tools
öffne ccleaner, analysieren, bereinigen.
neustarten, berichten wie das system läuft