Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU vollstädig entfernt? (https://www.trojaner-board.de/119397-gvu-vollstaedig-entfernt.html)

-dilbert- 13.07.2012 16:07
GVU vollstädig entfernt?
 
Hallo zusammen,

also, wie in meinem ersten Post (http://www.trojaner-board.de/118981-...e-tool-ck.html) bereits geschrieben: "Nachdem ich feststellen musste, dass mein Rechner, mit dem ich standardmässig im Internet unterwegs bin, von einem Virus befallen ist, der von McAfee nicht gefunden wurde..." - und der mir wichtigere zweite Rechner bereits in "Behandlung" ist, hier die Geschichte zum ersten Rechner:

Ich hatte mir den GVU-Trojaner eingefangen. Als der Rechner blockierte, hab ich ihn vom Netz genommen und ausgeschaltet. Danach dann an meinem zweiten Rechner ein wenig gegoogelt und bin auf der Seite des BSI gelandet. Hab dort und unter h**p://www.bka-trojaner.de/ ein wenig gelesen und mir dann die Kasperski CD gebrannt, den Rechner vom Lock befreit, danach an einem passenden Restorepoint wieder aufgesetzt und mit Avira gescannt.

Code:
Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set:        8.2.10.106
VDF Version:        7.11.35.120
Scan start time: Sat Jul  7 17:07:46 2012
configuration file: /etc/avira/scancl.conf
WARNING: [Unexpected end of file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Anwendungsdaten/Juniper Networks/setup/uninstall.exe


WARNING: [Error writing file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Downloads/Wanderkarte_raw.tar.gz


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Downloads/eu_rout.tgz.part --> object


WARNING: [File is encrypted] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Eigene Dateien/Dropbox/mine/Caches.zip


ALERT: [EXP/2012-0507.AW] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temp/V.class <<< Contains signature of the exploits EXP/2012-0507.AW [renamed]


ALERT: [TR/Drop.Injector.fhlh] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temp/0_0u_l.exe <<< Is the Trojan horse TR/Drop.Injector.fhlh [renamed]


WARNING: [Unexpected end of file] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/8PRCYK0W/39-dll_6310a215c4745447b0d38f267872ce28[1].zip


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/UOC2OTDI/SafeCD[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/escanrd[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/AOSS[1].iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Dokumente und Einstellungen/Dilbert/Lokale Einstellungen/Temporary Internet Files/Content.IE5/Z1DIC0DA/bitdefender-rescue-cd[2].iso


WARNING: [Unexpected end of file] /media/Devices/sda1/Programme/Object/facetheme_uninstall.exe


WARNING: [Unexpected end of file] /media/Devices/sda1/Programme/gs/gs9.05/uninstgs.exe


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/AOSS.iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/drweb-livecd-600.iso


WARNING: [Unexpected end of block read] /media/Devices/sda1/Sardu/ISO/rescue_system-common-en.iso


Statistics :
Directories............... : 9889
Archives.................. : 8295
Files..................... : 581106
Infected.............. : 2
Renamed........... : 2
Warnings.............. : 14
Suspicious............ : 0
Infections................ : 2
Soweit so gut, der Rechner läuft wieder, ich vermisse keine Daten, aber... ein ungutes Gefühl ist da.
Bei meiner weiteren Recherche bin ich dann hier gelandet. Nachdem ich ein wenig gelesen und gestöbert habe, habe ich wie bereits gesagt meinen zweiten Rechner bei Euch "in Behandlung" gegeben.

Damit war aber klar, dass der erste Rechner auch komplett durchgecheckt werden muß:

Da am zweiten Rechner gerade der ESET läuft, die Zeit genutzt auf dem anderen Malewarebytes laufen zu lassen

Hier das Ergebnis nach defogger:

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.12.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Dilbert :: DILBERT-D820 [Administrator]

12.07.2012 17:01:31
mbam-log-2012-07-12 (17-01-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 309029
Laufzeit: 46 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{cbc5b60a-aa4d-45f6-84c2-d086f320299a} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBC5B60A-AA4D-45F6-84C2-D086F320299A} (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facetheme (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 9
C:\Programme\Object (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\skin (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 31
C:\Programme\Object\status.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\bho_project.dll (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\ChromeAddon.pem (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\config.ini (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\enable.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme_uninstall.exe (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\status2.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\._included.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\background.html (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\included.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\chromeaddon\manifest.json (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\build.sh (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\chrome.manifest (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\config_build.sh (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\files (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\install.rdf (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\readme.txt (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\firefoxOverlay.xul (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\installid.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\overlay.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\content\sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\._sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\defaults\preferences\sudoku.js (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\.DS_Store (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\sudoku.dtd (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\locale\en-US\sudoku.properties (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Object\facetheme\skin\overlay.css (PUP.FCTPlugin) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Kann es sein, dass MBAM die Reste einer Google Chrome Installation nicht mag? Den hatte meine Frau mal unbeabsichtigt draufgepackt und ich hab ihn
wohl nicht anständig wieder runtergeschmissen...

Ich will sicherstellen, dass sich da nicht noch irgendetwas anderes eingenistet hat.

Das Log von gmer und OTL gibt's auch noch.

Gruß
D

t'john 15.07.2012 19:27
:hallo:

ist das der selbe Rechner wie hier? http://www.trojaner-board.de/118981-...e-tool-ck.html

wenn nicht dann:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = h**p://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = h**p://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" =
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "h**p://www.geocaching.com/"
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Dokumente und Einstellungen\Dilbert\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe" File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
[2012.07.12 20:26:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.07.12 19:33:29 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.07.04 23:31:53 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2012.07.04 20:05:36 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2011.08.14 13:18:05 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

-dilbert- 15.07.2012 19:50
Hallo t'john,

nein, es handelt sich nicht um den gleichen Rechner...

Hier das Ergebnis des OTL-Laufs:

Code:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully!
Prefs.js: true removed from browser.search.useDBForOrder
Prefs.js: "hxxp://www.geocaching.com/" removed from browser.startup.homepage
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=3\ deleted successfully.
File C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@tools.google.com/Google Update;version=9\ deleted successfully.
File C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
File C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad not found.
C:\WINDOWS\system32\TAKDSDecoder.dll moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Dilbert\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Dilbert\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Bettina
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Dilbert
->Temp folder emptied: 130294 bytes
->Temporary Internet Files folder emptied: 679839104 bytes
->FireFox cache emptied: 55640414 bytes
->Google Chrome cache emptied: 6440794 bytes
->Flash cache emptied: 1012 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 81920 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 710,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Bettina
 
User: Default User
 
User: Dilbert
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.53.1 log created on 07152012_204228

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Gruß
D

t'john 15.07.2012 21:18
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Neue Version! Bitte neu runterladen!
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

-dilbert- 16.07.2012 15:54
Hallo t'john,

MABM hat nichts mehr gefunden:

Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.16.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Dilbert :: DILBERT-D820 [Administrator]

16.07.2012 16:05:54
mbam-log-2012-07-16 (16-05-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 299762
Laufzeit: 42 Minute(n),

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und hier das Ergebnis von AdwCleaner:

Code:
# AdwCleaner v1.702 - Logfile created 07/16/2012 at 16:49:17
# Updated 13/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Dilbert - DILBERT-D820
# Running from : C:\Dokumente und Einstellungen\Dilbert\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\Dilbert\Anwendungsdaten\advantage

***** [Registry] *****

Key Found : HKCU\Software\Conduit
Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Value Found : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
Value Found : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}

***** [Internet Browsers] *****

-\\ Internet Explorer v7.0.5730.13

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [1142 octets] - [16/07/2012 16:49:17]

########## EOF - C:\AdwCleaner[R1].txt - [1270 octets] ##########
Gruß
D

t'john 16.07.2012 15:57
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



zur Kontrolle:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

-dilbert- 16.07.2012 16:08
Hallo t'john,

bisher läuft der Rechner stabil...

Hier das Log vom AdwCleaner:

Code:
# AdwCleaner v1.702 - Logfile created 07/16/2012 at 17:00:16
# Updated 13/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Dilbert - DILBERT-D820
# Running from : C:\Dokumente und Einstellungen\Dilbert\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Dokumente und Einstellungen\Dilbert\Anwendungsdaten\advantage

***** [Registry] *****

Key Deleted : HKCU\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Value Deleted : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]
Value Deleted : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}

***** [Internet Browsers] *****

-\\ Internet Explorer v7.0.5730.13

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [1271 octets] - [16/07/2012 16:49:17]
AdwCleaner[S1].txt - [1216 octets] - [16/07/2012 17:00:16]

########## EOF - C:\AdwCleaner[S1].txt - [1344 octets] ##########
Da es in Sachen DSL noch weisse Flecken in Deutschland gibt, wird's mit Emsisoft noch ein paar Minuten dauern :(

Gruß
D

t'john 16.07.2012 16:10
Hoffnung LTE?

Lass Dich nicht stressen, melde Dich wenn Du soweit bist :)

-dilbert- 16.07.2012 16:14
LTE-Ausbau bisher nicht geplant, kein UMTS, GPRS oben unterm Dach...

Hat aber auch Vorteile ...manchmal ist man einfach nicht erreichbar :D

Hallo t'john,

hier das Log vom Emsisoft-Scan:

Code:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 16.07.2012 17:41:04

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\
Archiv Scan: An
ADS Scan: An

Scan Beginn:        16.07.2012 17:41:42

Key: hkey_local_machine\software\trymedia systems        gefunden: Trace.Registry.trymedia!E1
Key: hkey_local_machine\software\trymedia systems\activemark software        gefunden: Trace.Registry.trymedia!E1

Gescannt        584951
Gefunden        2

Scan Ende:        16.07.2012 19:41:38
Scan Zeit:        1:59:56
Gruß
D

t'john 16.07.2012 19:22
Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)

Deinstalliere:
Emsisoft Anti-Malware


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

-dilbert- 16.07.2012 19:28
Hallo t'john,

erstmal vielen, vielen Dank! :daumenhoc

Eine Frage hab' ich noch: Emsisoft habe ich gemäß Anweisung nur Scannen lassen...also noch die beiden gefunden Registry-Schlüssel mit Emsisoft bereinigen lassen, oder?

Gruß
D

t'john 16.07.2012 19:32
Ah, ja die kannst du loeschen... (die sind harmlos) ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131