|
Trojaner generic.26? Viele Meldungen, ahnungslose Laptop Besitzerin Guten Morgen, ich bin leider sehr unerfahren und über Google auf euer Forum gestoßen. Auf meinem Laptop habe ich anscheinend meinen ersten Trojaner und mein Virenprogramm kommt nicht mehr klar. Ich hatte bis gestern das AVG Antivirus Programm und kam dann auf die Idee ein "ordentliches" zu kaufen: Mc Afee. Leider hat sich das Ganze bei der Installation dann selbst mal gleich wieder gelöscht, ich habe es nochmals versucht und jetzt ist es drauf. War allerdings keine gute Idee, seitdem kommen keine Meldungen mehr. Deshalb kann ich hier jetzt auch keine genauen Warnmeldungen posten, die sind weg. Ich habe mal alle Punkte ausgeführt und hier sind die Logs: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 8.0.6001.19190 BrowserJavaVersion: 1.6.0_24 Run by Sabrina at 10:26:35 on 2012-03-14 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3069.1895 [GMT 1:00] . AV: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {86355677-4064-3EA7-ABB3-1B136EB04637} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} SP: McAfee Anti-Virus und Anti-Spyware *Enabled/Updated* {3D54B793-665E-3129-9103-206115370C8A} FW: McAfee Firewall *Enabled* {BE0ED752-0A0B-3FFF-80EC-B2269063014C} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe C:\Windows\system32\svchost.exe -k rpcss C:\Windows\system32\Ati2evxx.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Program Files\Creative\Shared Files\CTAudSvc.exe C:\Windows\system32\svchost.exe -k GPSvcGroup C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\Ati2evxx.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Windows\system32\WLANExt.exe C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe C:\Windows\system32\mfevtps.exe C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Windows\system32\svchost.exe -k imgsvc C:\Program Files\Toshiba TEMPRO\TempoSVC.exe C:\Windows\system32\TODDSrv.exe C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Windows\System32\mobsync.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Windows\System32\alg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\conime.exe C:\Program Files\Common Files\Mcafee\McSvcHost\McSvHost.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\vssvc.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\System32\svchost.exe -k swprv C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe . ============== Pseudo HJT Report =============== . uStart Page = about:blank uDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA; mStart Page = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA mDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=TSEA&bmod=TSEA; uInternet Settings,ProxyOverride = *.local uURLSearchHooks: H - No File uURLSearchHooks: H - No File uURLSearchHooks: H - No File mURLSearchHooks: H - No File mWinlogon: Userinit=userinit.exe, BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\npdivx32.dll BHO: DivX HiQ: {593ddec6-7468-4cdd-90e1-42dadaa222e9} - c:\program files\divx\divx plus web player\npdivx32.dll BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll BHO: scriptproxy: {7db2d5a0-7241-4e79-b68d-6309f01c5231} - c:\program files\common files\mcafee\systemcore\ScriptSn.20120314100610.dll BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll BHO: McAfee SiteAdvisor BHO: {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\progra~1\mcafee\sitead~1\mcieplg.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll TB: {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File TB: McAfee SiteAdvisor Toolbar: {0ebbbe48-bad4-4b4c-8e5a-516abecae064} - c:\progra~1\mcafee\sitead~1\mcieplg.dll TB: {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File {e7df6bff-55a5-4eb7-a673-4ed3e9456d39} uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background uRun: [ehTray.exe] c:\windows\ehome\ehTray.exe uRun: [EADM] "c:\program files\origin\Origin.exe" -AutoStart mRun: [Windows Defender] E -HIDE mRun: [SynTPEnh] E mRun: [Toshiba TEMPO] E mRun: [StartCCC] E" mRun: [TPwrMain] E mRun: [SmoothView] E mRun: [00TCrdMain] E mRun: [Toshiba Registration] E mRun: [VolPanel] E" /R mRun: [Module Loader] E -STARTUPRUN mRun: [Creative SB Monitoring Utility] RunDll32 sbavmon.dll,SBAVMonitor mRun: [CanonMyPrinter] E /LOGON mRun: [CanonSolutionMenu] E /LOGON mRun: [ATICustomerCare] E" mRun: [QuickTime Task] E" -ATBOOTTIME mRun: [iTunesHelper] E" mRun: [DivXUpdate] E" /CHECKNOW mRun: [RtHDVCpl] E mRun: [ROC_roc_dec12] E" /PROMPT /CMPID=ROC_DEC12 mRun: [mcui_exe] "c:\program files\mcafee.com\agent\mcagent.exe" /runkey mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray mRunOnce: [Malwarebytes Anti-Malware] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: Free YouTube to MP3 Converter - c:\users\sabrina\appdata\roaming\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~2\office12\EXCEL.EXE/3000 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab TCP: DhcpNameServer = 192.168.2.1 TCP: Interfaces\{5EAC42DB-58CB-4FE0-89B6-DE46D347F004} : DhcpNameServer = 10.111.81.129 10.129.32.1 TCP: Interfaces\{7CC64AF2-4D53-4CB6-A1AD-20DBBCFB3027} : NameServer = 192.168.2.1 TCP: Interfaces\{7CC64AF2-4D53-4CB6-A1AD-20DBBCFB3027} : DhcpNameServer = 192.168.2.1 Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - c:\progra~1\mcafee\msc\McSnIePl.dll Handler: AutorunsDisabled\fluxhttp - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\common files\fluxdvd\lib\xeb\xebnavigation.ax Handler: AutorunsDisabled\fluxhttp\0x00000007 - {8E2D00A0-82C6-4821-90BC-07F290841BB6} - c:\program files\common files\fluxdvd\lib\xeb\xebnavigation.ax Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\McIEPlg.dll Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\McIEPlg.dll . ================= FIREFOX =================== . FF - ProfilePath - c:\users\sabrina\appdata\roaming\mozilla\firefox\profiles\382g54k6.default\ FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bddfa1ce5-90b8-49ea-9cbe-e4bf53c16c39%7D&mid=31ebcf19351f430d8ff84e06781f1110-22c19b33995470c8b6c3d849a9229e006eb3ab9d&ds=AVG&v=10.0.0.7&lang=de&pr=fr&d=2012-03-04%2013%3A36%3A16&sap=ku&q= FF - plugin: c:\progra~1\mcafee\msc\npMcSnFFPl.dll FF - plugin: c:\program files\common files\mpdrm\NPMPDRM.dll FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\program files\mcafee\siteadvisor\NPMcFFPlg32.dll FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll . ---- FIREFOX POLICIES ---- FF - user.js: yahoo.homepage.dontask - true);user_pref(yahoo.ytff.general.dontshowhpoffer, true ============= SERVICES / DRIVERS =============== . R0 mfehidk;McAfee Inc. mfehidk;c:\windows\system32\drivers\mfehidk.sys [2011-10-15 464176] R1 jswpslwf;JumpStart Wireless Filter Driver;c:\windows\system32\drivers\jswpslwf.sys [2009-1-31 20352] R1 mfenlfk;McAfee NDIS Light Filter;c:\windows\system32\drivers\mfenlfk.sys [2012-3-14 64880] R1 mfewfpk;McAfee Inc. mfewfpk;c:\windows\system32\drivers\mfewfpk.sys [2012-3-14 165680] R2 ConfigFree Service;ConfigFree Service;c:\program files\toshiba\configfree\CFSvcs.exe [2008-4-16 40960] R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504] R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-14 652360] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\common files\mcafee\mcsvchost\McSvHost.exe [2012-3-14 214904] R2 McMPFSvc;McAfee Personal Firewall Service;c:\program files\common files\mcafee\mcsvchost\McSvHost.exe [2012-3-14 214904] R2 McNaiAnn;McAfee VirusScan Announcer;c:\program files\common files\mcafee\mcsvchost\McSvHost.exe [2012-3-14 214904] R2 McProxy;McAfee Proxy Service;c:\program files\common files\mcafee\mcsvchost\McSvHost.exe [2012-3-14 214904] R2 McShield;McAfee McShield;c:\program files\common files\mcafee\systemcore\mcshield.exe [2012-3-14 166288] R2 mfefire;McAfee Firewall Core Service;c:\program files\common files\mcafee\systemcore\mfefire.exe [2012-3-14 160608] R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [2012-3-14 150856] R2 TempoMonitoringService;Notebook Performance Tuning Service ;c:\program files\toshiba tempro\TempoSVC.exe [2008-4-24 99720] R2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\toshiba\smartlogservice\TosIPCSrv.exe [2007-12-3 126976] R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [2012-3-14 57600] R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-7-3 7168] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-14 20464] R3 mfeavfk;McAfee Inc. mfeavfk;c:\windows\system32\drivers\mfeavfk.sys [2012-3-14 180816] R3 mfebopk;McAfee Inc. mfebopk;c:\windows\system32\drivers\mfebopk.sys [2012-3-14 59456] R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [2012-3-14 338176] S2 0192021331716056mcinstcleanup;McAfee Application Installer Cleanup (0192021331716056);c:\users\sabrina\appdata\local\temp\019202~1.exe c:\progra~1\common~1\mcafee\instal~1\cleanup.ini -cleanup -nolog -service --> c:\users\sabrina\appdata\local\temp\019202~1.exe c:\progra~1\common~1\mcafee\instal~1\cleanup.ini -cleanup -nolog -service [?] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\googleupdate.exe /svc --> c:\program files\google\update\GoogleUpdate.exe [?] S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\avg\avg10\toolbar\toolbarbroker.exe --> c:\program files\avg\avg10\toolbar\ToolbarBroker.exe [?] S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2009-11-21 79360] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2009-11-14 79360] S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\googleupdate.exe /medsvc --> c:\program files\google\update\GoogleUpdate.exe [?] S3 jswpsapi;Jumpstart Wifi Protected Setup;c:\program files\jumpstart\jswpsapi.exe [2009-1-31 937984] S3 ksaud;Creative USB Audio Driver;c:\windows\system32\drivers\ksaud.sys [2009-4-20 804480] S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [2012-3-14 87656] S3 mferkdk;McAfee Inc. mferkdk;c:\windows\system32\drivers\mferkdk.sys [2009-3-12 34248] S3 mfesmfk;McAfee Inc. mfesmfk;c:\windows\system32\drivers\mfesmfk.sys [2009-3-12 40552] S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2010-4-19 18432] S3 s1029bus;Sony Ericsson Device 1029 driver (WDM);c:\windows\system32\drivers\s1029bus.sys [2010-1-18 90280] S3 s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter;c:\windows\system32\drivers\s1029mdfl.sys [2010-1-18 15016] S3 s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver;c:\windows\system32\drivers\s1029mdm.sys [2010-1-18 122280] S3 s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1029mgmt.sys [2010-1-18 115880] S3 s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1029nd5.sys [2010-1-18 26024] S3 s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface;c:\windows\system32\drivers\s1029obex.sys [2010-1-18 111912] S3 s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1029unic.sys [2010-1-18 116904] S3 SipIMNDI;T-Home Dialerschutz VoIP Service;c:\windows\system32\drivers\SipIMNDI.sys [2009-12-23 24352] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504] . =============== Created Last 30 ================ . 2012-03-14 09:08:29 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-03-14 09:08:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2012-03-14 09:06:10 28760 ----a-w- c:\program files\mozilla firefox\ScriptFF.dll 2012-03-14 09:06:08 9608 ----a-w- c:\windows\system32\drivers\mfeclnk.sys 2012-03-14 09:06:03 87656 ----a-w- c:\windows\system32\drivers\mferkdet.sys 2012-03-14 09:06:03 64880 ----a-w- c:\windows\system32\drivers\mfenlfk.sys 2012-03-14 09:06:03 59456 ----a-w- c:\windows\system32\drivers\mfebopk.sys 2012-03-14 09:06:03 57600 ----a-w- c:\windows\system32\drivers\cfwids.sys 2012-03-14 09:06:03 338176 ----a-w- c:\windows\system32\drivers\mfefirek.sys 2012-03-14 09:06:03 180816 ----a-w- c:\windows\system32\drivers\mfeavfk.sys 2012-03-14 09:06:03 165680 ----a-w- c:\windows\system32\drivers\mfewfpk.sys 2012-03-14 09:05:57 -------- d-----w- c:\program files\McAfee.com 2012-03-14 09:05:41 -------- d-----w- c:\program files\McAfee 2012-03-14 06:17:56 150856 ----a-w- c:\windows\system32\mfevtps.exe 2012-03-13 19:34:01 -------- d-sh--w- c:\users\sabrina\appdata\local\a28aa113 2012-03-04 12:53:22 -------- d-----w- c:\users\sabrina\appdata\roaming\AVG2012 2012-03-04 12:34:49 -------- d-----w- c:\programdata\AVG2012 2012-02-25 14:29:47 626688 ----a-w- c:\program files\mozilla firefox\msvcr80.dll 2012-02-25 14:29:47 548864 ----a-w- c:\program files\mozilla firefox\msvcp80.dll 2012-02-25 14:29:47 479232 ----a-w- c:\program files\mozilla firefox\msvcm80.dll 2012-02-25 14:29:47 45016 ----a-w- c:\program files\mozilla firefox\mozutils.dll . ==================== Find3M ==================== . 2012-01-22 17:27:23 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-01-12 19:52:56 2044416 ----a-w- c:\windows\system32\win32k.sys . ============= FINISH: 10:27:36,78 =============== . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft® Windows Vista™ Home Premium Boot Device: \Device\HarddiskVolume2 Install Date: 31.01.2009 16:02:27 System Uptime: 14.03.2012 10:02:37 (0 hours ago) . Motherboard: TOSHIBA | | Portable PC Processor: Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz | CPU | 1000/667mhz . ==== Disk Partitions ========================= . C: is FIXED (NTFS) - 116 GiB total, 11,907 GiB free. E: is FIXED (NTFS) - 115 GiB total, 109,825 GiB free. F: is CDROM () . ==== Disabled Device Manager Items ============= . Class GUID: {4d36e96c-e325-11ce-bfc1-08002be10318} Description: Realtek High Definition Audio Device ID: ROOT\MEDIA\0000 Manufacturer: Realtek Name: Realtek High Definition Audio PNP Device ID: ROOT\MEDIA\0000 Service: IntcAzAudAddService . ==== System Restore Points =================== . RP900: 06.03.2012 22:19:50 - Geplanter Prüfpunkt RP901: 10.03.2012 17:47:26 - Geplanter Prüfpunkt RP902: 11.03.2012 17:31:34 - Geplanter Prüfpunkt RP903: 11.03.2012 19:27:03 - Installiert The Sims 3 RP904: 14.03.2012 07:22:39 - Removed AVG 2012 RP905: 14.03.2012 07:25:44 - Removed AVG 2012 RP906: 14.03.2012 07:31:54 - Gerätetreiber-Paketinstallation: McAfee, Inc. Netzwerkdienst RP907: 14.03.2012 10:06:15 - Gerätetreiber-Paketinstallation: McAfee, Inc. Netzwerkdienst . ==== Installed Programs ====================== . . 7-Zip 4.65 Adobe AIR Adobe Flash Player 10 ActiveX Adobe Flash Player 11 Plugin Apple Application Support Apple Mobile Device Support Apple Software Update Atheros Driver Installation Program Atheros Wi-Fi Protected Setup Library ATI Catalyst Install Manager ATI Catalyst Registration ATI Stream SDK v2 Developer Bonjour Canon MP Navigator EX 3.0 Canon MP490 series MP Drivers Canon Utilities My Printer Canon Utilities Solution Menu Catalyst Control Center - Branding Catalyst Control Center Core Implementation Catalyst Control Center Graphics Full Existing Catalyst Control Center Graphics Full New Catalyst Control Center Graphics Light Catalyst Control Center Graphics Previews Vista Catalyst Control Center Localization Chinese Standard Catalyst Control Center Localization Chinese Traditional Catalyst Control Center Localization Dutch Catalyst Control Center Localization French Catalyst Control Center Localization German Catalyst Control Center Localization Italian Catalyst Control Center Localization Japanese Catalyst Control Center Localization Korean Catalyst Control Center Localization Portuguese Catalyst Control Center Localization Spanish Catalyst Control Center Localization Swedish ccc-core-static ccc-utility CCC Help Chinese Standard CCC Help Chinese Traditional CCC Help Dutch CCC Help English CCC Help French CCC Help German CCC Help Italian CCC Help Japanese CCC Help Korean CCC Help Portuguese CCC Help Spanish CCC Help Swedish CCleaner CD/DVD Drive Acoustic Silencer Compatibility Pack für 2007 Office System Creative ALchemy Creative Audio-Systemsteuerung Creative Software AutoUpdate Creative Systeminformationen CutePDF Writer 2.8 Die Sims™ 3 Die Sims™ 3 Design-Garten-Accessoires Die Sims™ 3 Einfach tierisch Die Sims™ 3 Gib Gas-Accessoires Die Sims™ 3 Late Night Die Sims™ 3 Luxus-Accessoires Die Sims™ 3 Reiseabenteuer Die Sims™ 3 Traumkarrieren DivX-Setup Eigenschaften von Creative Sound Blaster Foxit Creator Foxit Reader Free YouTube to MP3 Converter version 3.10.14.1206 Google Update Helper Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Intel® Matrix Storage Manager iTunes Java Auto Updater Java(TM) 6 Update 24 Malwarebytes Anti-Malware Version 1.60.1.1000 McAfee Internet Security Suite Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 4 Client Profile Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Office PowerPoint Viewer 2007 (German) Microsoft Search Enhancement Pack Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Visual C++ 2005 Redistributable Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Works Microsoft WSE 3.0 Runtime Microsoft XML Parser Mozilla Firefox 10.0.2 (x86 de) MSXML 4.0 SP2 (KB941833) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) NAVIGON Fresh 3.3.2 Origin Paint.NET v3.5.5 pdfsam QuickTime Realtek 8169 8168 8101E 8102E Ethernet Driver Realtek High Definition Audio Driver Revo Uninstaller 1.89 RICOH R5C83x/84x Flash Media Controller Driver Ver.3.54.02 Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424) Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708) Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2478663) Security Update for Microsoft .NET Framework 4 Client Profile DEU Language Pack (KB2518870) Security Update for Windows Media Encoder (KB2447961) Security Update for Windows Media Encoder (KB954156) Security Update for Windows Media Encoder (KB979332) Skins Sound Blaster X-Fi Surround 5.1 Synaptics Pointing Device Driver The Lord of the Rings FREE Trial TOSHIBA Assist TOSHIBA Benutzerhandbücher TOSHIBA ConfigFree TOSHIBA Disc Creator TOSHIBA Extended Tiles for Windows Mobility Center TOSHIBA Hardware Setup TOSHIBA Recovery Disc Creator TOSHIBA SD Memory Utilities TOSHIBA Supervisor Password Toshiba TEMPRO TOSHIBA Value Added Package TRDCReminder TRORDCLauncher Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) VC80CRTRedist - 8.0.50727.4053 Windows Live-Uploadtool Windows Live Anmelde-Assistent Windows Live OneCare safety scanner Windows Live Sync Windows Media Encoder 9-Reihe Windows Media Player Firefox Plugin . ==== End Of File =========================== Ich hoffe, es kann mir jemand helfen. Liebe Grüße |
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Sorry, hat etwas gedauert, der Laptop wollte nicht mehr ins Netz. Hier der Log von Malwarebytes: Code: 2012/03/14 10:12:55 +0100 BINAS-PC Sabrina MESSAGE Starting protectionCode: ESETSmartInstaller@High as downloader log: |
Das ist nicht das Log von Malwarebytes was ich sehen wollte. Lies bitte die Anleitung richtig |
Sorry. Ich hoffe, dies ist der richtige: Code: alwarebytes Anti-Malware (Test) 1.60.1.1000 |
Du hast offensichtlich einen ZeroAccess drauf, der ist immer ungemütlich. :( Ich würde dir erstmal für den Fall der Fälle eine Datensicherung empfehlen und dich darauf vorzubereiten, eine komplette Neuinstallation von Windows durchzuführen, den ZA kann man nämlich nicht immer per Bereinigung entfernen! Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen. Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen. Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch. 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://partedmagic.com/lib/exe/fetch...ia=desktop.png 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind) 6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!! 7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote wieder Windows Wenn du dir sicher bist, dass du auch Daten unter Linux gesichert hast, führst du mal Combofix aus: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Alles klar, ich muss mir erst etwas zum drauf speichern besorgen habe aber folgendes Problem: Als ich den Laptop bekommen habe hat sich Vista selbst installiert, ich habe keine CDs zur Neuinstallation. Sollte ich mir das im Laden besorgen oder gibt es eine andere Möglichkeit? Ich bekomme außerdem im Moment keine Fehlermeldungen etc., das macht mir auch Sorgen. Ist das die Ruhe vor dem Sturm? Wie schlimm ist der ?? Trojaner ??, was kann da noch passieren? Lg |
Der ZeroAccess ist so ungefähr der am schwierigsten per Bereinigung zu entfernende Schädling der zur Zeit kursiert. Wer hat dir diesen Rechner mit Vista installiert? Was für eine DVD war das? Klebt ein Lizenzkey auf deinem Rechner? |
Vista hat sich selbst installiert. Ich habe den Laptop das erste Mal eingeschaltet und ab da installierte es sich selbst. Eine DVD habe ich nicht. Unter dem PC klebt ein Aufkleber mit "Product Key", also denk ich mal Ja. |
Zitat:
Es war vorinstalliert. Du musst auch mal dein Handbuch lesen, welches deinem Rechner beilag. Da steh alles drin wie man sein Gerät recovert. IdR muss man sich Recovery-Discs selber brennen oder über die Recovery-Partition das Gerät recovern d.h. in die Werkseinstellungen zurückversetzen. Dabei gehen natürlich alle persönlichen Daten verloren |
Hat etwas gedauert bis ich zurechtkam, hier das Ergebnis: Code: ComboFix 12-03-22.01 - Sabrina 22.03.2012 18:15:11.1.2 - x86 |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Ich glaube es sieht besser aus :) : Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000Code: ESETSmartInstaller@High as downloader log: |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. |
Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000 |
CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Code: OTL logfile created on: 27.03.2012 11:26:24 - Run 1 |
Code: OTL Extras logfile created on: 27.03.2012 11:26:24 - Run 1 |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Code: All processes killed |
Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Code: 22:04:42.0850 5736 TDSS rootkit removing tool 2.7.23.0 Mar 26 2012 13:40:18 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). |
Code: GMER 1.0.15.15641 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0Run date: 2012-03-27 22:34:25 ----------------------------- 22:34:25.994 OS Version: Windows 6.0.6002 Service Pack 2 22:34:25.994 Number of processors: 2 586 0xF0D 22:34:25.994 ComputerName: BINAS-PC UserName: Sabrina 22:34:27.913 Initialize success 22:36:01.051 AVAST engine defs: 12032701 22:36:11.800 The log file has been saved successfully to "C:\Users\Sabrina\Desktop\aswMBR.txt" 22:36:17.515 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 22:36:17.515 Disk 0 Vendor: WDC_WD25 01.0 Size: 238475MB BusType: 3 22:36:17.578 Disk 0 MBR read successfully 22:36:17.578 Disk 0 MBR scan 22:36:17.593 Disk 0 Windows VISTA default MBR code 22:36:17.609 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 1500 MB offset 2048 22:36:17.624 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 119078 MB offset 3074048 22:36:17.656 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 117895 MB offset 246945792 22:36:17.671 Disk 0 scanning sectors +488395120 22:36:17.765 Disk 0 scanning C:\Windows\system32\drivers 22:36:31.384 Service scanning 22:36:59.604 Modules scanning 22:37:05.126 Disk 0 trace - called modules: 22:37:05.158 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 22:37:05.173 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86c30288] 22:37:05.189 3 CLASSPNP.SYS[8afc58b3] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x8617b028] 22:37:06.546 AVAST engine scan C:\Windows 22:37:10.446 AVAST engine scan C:\Windows\system32 22:43:16.083 AVAST engine scan C:\Windows\system32\drivers 22:43:43.492 AVAST engine scan C:\Users\Sabrina 22:44:35.877 Disk 0 MBR has been saved successfully to "C:\Users\Sabrina\Desktop\MBR.dat" 22:44:35.939 The log file has been saved successfully to "C:\Users\Sabrina\Desktop\aswMBR.txt" Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Code: SUPERAntiSpyware Scan Log |
NUr Cookies. Was ist mit Malwarebytes? |
Sorry. Hatte ich vergessen. Hier das Log: Code: Malwarebytes Anti-Malware (Test) 1.60.1.1000 |
Sieht ok aus, da wurden nur Cookies gefunden. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Alles klar. Super!! Tausend Dank. Ich dachte schon ich muss den Laptop entsorgen. Wie bekomme ich diese Cookies denn weg oder lässt man die? Das einzige Problem, welches ich habe sind 2 Links die Firefox gespeichert hat. Eins von Facebook: irgendein Foto-Link und ein Link von der Bank, welches mir schon eher Sorgen macht. Ansonsten ging meine Uhr immer teilweise nicht, diese läuft jetzt allerdings wieder. Kann das damit zutun gehabt haben? |
Die Cookies einfach mit SASW löschen Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Vielen Dank, das werde ich mir jetzt alles nocheinmal zu Gemüte führen :Boogie: Super gemacht!! Ohne solche Leute wie dich wäre so jemand wie ich total verloren. Weiter so! :abklatsch: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board
