Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner eingefangen unter Win7 64bit (https://www.trojaner-board.de/120074-gvu-trojaner-eingefangen-win7-64bit.html)

MarcelRamon 21.07.2012 23:52
GVU Trojaner eingefangen unter Win7 64bit
 
Hallo liebes Team,

nun scheine auch ich mir den GVU Trojaner (wie Webcam Version) eingefangen zu haben. Als ich vorhin gegen 19 Uhr meinen PC startete, erschien nach dem Bootvorgang das GVU Bild (Bundesrepublik, Paragraphen, Zahlung per Paysafe von 100 Euro) mit einer Art Webcam oben rechts.

Habe bereits Malware und OTL drüberlaufen lassen und hier sind die Logs:

Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.21.12

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Cattivo :: MARCELRAMONSPC [Administrator]

Schutz: Deaktiviert

22.07.2012 00:01:48
mbam-log-2012-07-22 (00-26-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339446
Laufzeit: 21 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Cattivo\AppData\Local\Temp\rool0_pk.exe (Spyware.Zbot.DG) -> Keine Aktion durchgeführt.
D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.
C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)
Die beiden OTL Logs poste ich als Anhang:

Besten Gruß!

t'john 22.07.2012 00:04
:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:


Code:
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {EF742892-2E03-485a-BAFD-8834EFA69EA5}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..browser.startup.homepage: "http://www.bing.com/?pc=MOZO"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - prefs.js..network.proxy.http: "188.93.20.179"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, stealthy.co"
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.type: 0
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_265.dll File not found
O2:64bit: - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - D:\Programme\Expat Shield\HssIE\ExpatIE_64.dll File not found
O2 - BHO: (Expat Shield Class) - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - D:\Programme\Expat Shield\HssIE\ExpatIE.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O32 - HKLM CDRom: AutoRun - 1

[2012.06.29 21:02:09 | 000,578,962 | ---- | M] () (No name found) -- C:\USERS\CATTIVO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PCIND0MC.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI
[2011.10.24 12:50:22 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
[2012.07.21 23:53:45 | 004,503,728 | ---- | M] () -- C:\ProgramData\kp_0loor.pad
[2012.07.21 18:58:05 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.07.21 15:33:09 | 000,001,889 | ---- | M] () -- C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
[2012.07.21 15:33:09 | 004,503,728 | ---- | C] () -- C:\ProgramData\kp_0loor.pad
[2012.07.21 15:33:09 | 000,001,889 | ---- | C] () -- C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

MarcelRamon 22.07.2012 00:17
Vielen Dank für die schnelle Hilfe! Habe soweit alles fixen lassen und heraus kam folgendes Log:

Zitat:
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BC86E1AB-EDA5-4059-938F-CE307B0C6F0A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F1176B5A-AFE4-488C-9B6A-95B5EB7B62F1}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3706EE7C-3CAD-445D-8A43-03EBC3B75908}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\USERS\CATTIVO\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PCIND0MC.DEFAULT\EXTENSIONS\TOOLBAR@WEB.DE.XPI moved successfully.
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src moved successfully.
C:\ProgramData\kp_0loor.pad moved successfully.
C:\Windows\Tasks\Adobe Flash Player Updater.job moved successfully.
C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File C:\ProgramData\kp_0loor.pad not found.
File C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Cattivo\Desktop\cmd.bat deleted successfully.
C:\Users\Cattivo\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Cattivo
->Temp folder emptied: 31834673 bytes
->Temporary Internet Files folder emptied: 86546267 bytes
->Java cache emptied: 1063723 bytes
->FireFox cache emptied: 615797960 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 85958 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 101426984 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 798,00 mb


[EMPTYFLASH]

User: All Users

User: Cattivo
->Flash cache emptied: 0 bytes

User: Default

User: Default User

User: Public

User: UpdatusUser

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.54.0 log created on 07222012_010915

Files\Folders moved on Reboot...
C:\Users\Cattivo\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
File C:\Users\Cattivo\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...
Was genau ist nun noch zu tun?

t'john 22.07.2012 00:22
Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt
Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

MarcelRamon 22.07.2012 00:30
Bisher läuft es zumindest schonmal so weit, daß ich Windows wieder normal starten kann! :-)
Bin gerade dabei die Schritte 1 und 2 abzuarbeiten und habe derweil für die schnelle und adäquate Hilfe zu so später Stunde eine Kleinigkeit gespendet.

Sobald die Ergebnisse vorliegen, poste ich sie per quote in diesen Thread...

t'john 22.07.2012 00:31
;) Danke

Melde Dich mit den Logs wieder.

MarcelRamon 22.07.2012 01:00
Sodele, die Scans sind abgeschlossen. Hat etwas länger gedauert. Hier die beiden Ergebnisse:

Zitat:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.21.12

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Cattivo :: MARCELRAMONSPC [Administrator]

Schutz: Aktiviert

22.07.2012 01:27:58
mbam-log-2012-07-22 (01-57-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 331887
Laufzeit: 29 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe (PUP.Netcat) -> Keine Aktion durchgeführt.

(Ende)
Zitat:
# AdwCleaner v1.703 - Logfile created 07/22/2012 at 01:58:19
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Cattivo - MARCELRAMONSPC
# Running from : C:\Users\Cattivo\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\Cattivo\AppData\Local\OpenCandy
Folder Found : C:\Users\Cattivo\AppData\Roaming\OpenCandy
Folder Found : C:\Program Files (x86)\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Found : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
File Found : C:\Users\Cattivo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
File Found : C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

***** [Registry] *****


***** [Registre - GUID] *****

Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
[x64] Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\prefs.js

Found : user_pref("browser.search.defaultenginename", "Search the web");
Found : user_pref("browser.search.order.1", "Search the web");
Found : user_pref("quickstores.toolbar.affid", "2017");
Found : user_pref("quickstores.toolbar.guid", "{24784BE1-8139-2D8C-0F69-A900E66A5382}");

-\\ Opera v [Unable to get version]

File : C:\Users\Cattivo\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2249 octets] - [22/07/2012 01:58:19]

########## EOF - C:\AdwCleaner[R1].txt - [2377 octets] ##########

t'john 22.07.2012 01:02
Sehr gut! :daumenhoc

  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

MarcelRamon 22.07.2012 09:31
Guten Morgen,
habe gestern aufgrund von Müdigkeit pausiert und mache jetzt weiter. Hier erstmal die beiden Logs von gestern:
Zitat:
# AdwCleaner v1.703 - Logfile created 07/22/2012 at 02:04:50
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Professional Service Pack 1 (64 bits)
# User : Cattivo - MARCELRAMONSPC
# Running from : C:\Users\Cattivo\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Users\Cattivo\AppData\Local\OpenCandy
Folder Deleted : C:\Users\Cattivo\AppData\Roaming\OpenCandy
Folder Deleted : C:\Program Files (x86)\Mozilla Firefox\Extensions\quickstores@quickstores.de
Folder Deleted : C:\Windows\assembly\GAC_MSIL\QuickStoresToolbar
File Deleted : C:\Users\Cattivo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
File Deleted : C:\Users\Cattivo\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url

***** [Registry] *****


***** [Registre - GUID] *****

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{DFEFCDEE-CF1A-4FC8-89AF-189327213627}]

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.7601.17514

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\prefs.js

C:\Users\Cattivo\AppData\Roaming\Mozilla\Firefox\Profiles\pcind0mc.default\user.js ... Deleted !

Deleted : user_pref("browser.search.defaultenginename", "Search the web");
Deleted : user_pref("browser.search.order.1", "Search the web");
Deleted : user_pref("quickstores.toolbar.affid", "2017");
Deleted : user_pref("quickstores.toolbar.guid", "{24784BE1-8139-2D8C-0F69-A900E66A5382}");

-\\ Opera v [Unable to get version]

File : C:\Users\Cattivo\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2374 octets] - [22/07/2012 01:58:19]
AdwCleaner[S1].txt - [2200 octets] - [22/07/2012 02:04:50]

########## EOF - C:\AdwCleaner[S1].txt - [2328 octets] ##########
Zitat:
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 22.07.2012 02:13:03

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, F:\, G:\, H:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 22.07.2012 02:13:24

D:\Programme\JDownloader\FritzBox Reconnect\Fritz_Box_reconnect\nc.exe gefunden: Riskware.RemoteAdmin.Win32.NetCat!E2
D:\Downloads\TMPGEnc.XPress.v4.5.1.254.Incl.Keygen-EMBRACE.zip -> Keygen-EMBRACE\keygen.exe gefunden: possible-Threat.Keygen!E2
D:\Downloads\Unlocker1.9.1-x64.exe gefunden: Adware.Win32.ADON!E1

Gescannt 609347
Gefunden 3

Scan Ende: 22.07.2012 02:38:33
Scan Zeit: 0:25:09

t'john 22.07.2012 09:40
Sehr gut! :daumenhoc

Lasse die Funde loeschen.


ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

MarcelRamon 22.07.2012 11:05
Scannen erledigt, Programm soweit deinstalliert und Anweisungen befolgt.
Funde beliefen sich auf 23. Hier das Logfile:

Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1f1f216cc8651f4191906c410a98c26c
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-22 09:53:27
# local_time=2012-07-22 11:53:27 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 3685 94576910 0 0
# compatibility_mode=8192 67108863 100 0 220 220 0 0
# scanned=134380
# found=23
# cleaned=23
# scan_time=3746
H:\MARCEL\Backup Set 2009-12-13 190000\Backup Files 2009-12-20 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2009-12-27 190000\Backup Files 2009-12-27 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-01-10 234041\Backup Files 2010-01-10 234041\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-01-24 190000\Backup Files 2010-01-24 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-02-08 123021\Backup Files 2010-02-08 123021\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-02-21 222418\Backup Files 2010-02-21 222418\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-03-07 190000\Backup Files 2010-03-07 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-03-21 195527\Backup Files 2010-03-21 195527\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-04-04 225405\Backup Files 2010-04-04 225405\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-04-18 193851\Backup Files 2010-04-18 193851\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-02 190000\Backup Files 2010-05-02 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-09 190002\Backup Files 2010-05-09 190002\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-05-23 190000\Backup Files 2010-05-23 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-06-06 205952\Backup Files 2010-06-06 205952\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-06-20 225222\Backup Files 2010-06-20 225222\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-07-04 190000\Backup Files 2010-07-04 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-07-18 190001\Backup Files 2010-07-18 190001\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-01 190000\Backup Files 2010-08-01 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-15 190000\Backup Files 2010-08-15 190000\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-08-29 190001\Backup Files 2010-08-29 190001\Backup files 1.zip multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-09-12 213708\Backup Files 2010-09-12 213708\Backup files 1.zip multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-11-07 224456\Backup Files 2010-11-07 224456\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C
H:\MARCEL\Backup Set 2010-11-28 201813\Backup Files 2010-11-28 201813\Backup files 1.zip Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

t'john 22.07.2012 18:04
Aufräumern mit CCleaner

Lasse mit CCleaner (Download) Fehler in der Registry beheben und temporäre Dateien löschen.

dann:

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die jxpiinstall.exe
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

MarcelRamon 22.07.2012 23:09
Hallo nochmal!

Danke erstmal für deine Zeit und Mühe :daumenhoc

Habe alles soweit erledigt, doch leider nimmt Java meine Einstellungen nicht an bzw speichert sie nicht. Bin genau wie in deiner Anleitung vorgegangen. Sobald ich die Einstellungen im Reiter "Update" wie erwähnt vorgenommen habe und auf "OK" klicke, sind diese beim nächsten Aufruf von Java wieder auf ihrem Ursprungswert.

Was mache ich falsch bzw wie bringe ich Java dazu, die Einstellung dauerhaft zu speichern?

t'john 22.07.2012 23:22
Java deinstallieren, CCleaner ausfuehren, Neustart.

Java neuinstallieren.

MarcelRamon 23.07.2012 00:01
Klappt leider immer noch nicht. Dasselbe Problem wie vorher. Er speichert es einfach nicht. Habe die Java Installation diesmal als Administrator gestartet, leider ohne Erfolg.

Was kann ich sonst noch machen, damit die Einstellungen gespeichert bleiben?

t'john 23.07.2012 00:11
Vielleicht ein Bug. Waere nichts Neues.

Mal schauen ob ich dazu noch was finde.

MarcelRamon 23.07.2012 00:25
Hab es hinbekommen! Und zwar bin ich über den Explorer in den Java/bin/usw. Zweig gegangen und habe per Rechtsklick und als Admin die Javacpl.exe aufgerufen und die Einstellungen verändert/gespeichert :-)

Muss ich sonst noch etwas tun nun?

t'john 23.07.2012 00:32
Sehr gut! :daumenhoc

Danke fuer die Info!

damit bist Du sauber und entlassen! :)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
  • Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTL.exe um das Programm auszuführen.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Klicke auf den Button "Bereinigung"
  • OTL fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

MarcelRamon 23.07.2012 08:42
Sehr gut! Vielen Dank für deine ausführliche Schritt-für-Schritt Hilfe :daumenhoc

Zwei Fragen hätte ich allerdings noch:

1.) Kann ich die Programme dennoch auf dem PC lassen oder ist es sinnvoll, sie zu löschen und wieso? Mit diesen Helfern habe ich doch die Möglichkeit in regelmäßigen Abständen mein System nach Malware durchchecken zu lassen.

2.) In einigen anderen Beiträgen zu diesem Thema las ich, daß man - wenn das System einmal kompromittiert wurde - am besten auch die Festplatte formatieren und Windows neu aufspielen sollte, um ganz sicher zu gehen, daß alles auch restlos entfernt ist. Was sagst du dazu?

Beste Grüße

t'john 23.07.2012 10:05
Zitat:
Zitat von MarcelRamon (Beitrag 871630)
Sehr gut! Vielen Dank für deine ausführliche Schritt-für-Schritt Hilfe :daumenhoc
:)

Zitat:
1.) Kann ich die Programme dennoch auf dem PC lassen oder ist es sinnvoll, sie zu löschen und wieso?
MBAM kannst du behalten, den Rest loeschen.
Die Tools werden staendig, oftmals mehrmals am Tag akualisiert, deshalb muessen sie immer neu geladen werden.


Zitat:
Mit diesen Helfern habe ich doch die Möglichkeit in regelmäßigen Abständen mein System nach Malware durchchecken zu lassen.
Lieber System akuell halten. Alle Updates sofort einspielen.
Plug-In Check nutzen.

Zitat:
2.) In einigen anderen Beiträgen zu diesem Thema las ich, daß man - wenn das System einmal kompromittiert wurde - am besten auch die Festplatte formatieren und Windows neu aufspielen sollte, um ganz sicher zu gehen, daß alles auch restlos entfernt ist. Was sagst du dazu?
Eine Entzuendung am Fuss kann man mit Antibiotika (Bereinigung) oder Amputation (Neuaufsetzen) heilen :)

Ne, im ernst. Es gibt Infektionen, da ist NUR neuaufsetzen sinnvoll.
Beim Neuaufsetzen hast du aber die groessere Sicherheit, dass nichts weiter schlummert.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132