Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   fresh-weather.com Trojaner?Google-Weiterleitung! (https://www.trojaner-board.de/125804-fresh-weather-com-trojaner-google-weiterleitung.html)

schrauber 21.10.2012 11:12
null problemo :)

darrinneu 21.10.2012 11:41
Jetzt habe ich ein weiteres Problem... Das kannte ich zwar schon nur hats mich sonst nicht gestört. Da ich keine Lösung dafür gefunden habe war ich schon daran gewöhnt.
Ich kann meinen PC nicht starten wenn ein USB Stick oder eine ext Festplatte angesteckt ist.
In diesem Fall kommt nur ein schwarzer Bildschirm mit einem blinkenden weißen Unterstrich oben links.
Wollte den PC überlisten und nach dem Start schnell den Stick anstecken.
hat auch funktioniert - leder ist dann bei der Eingabeaufforderung "das Gerät nicht bereit"....
Kann ich die frst64.exe auch auf c: geben und von dort das Programm ausführen?

schrauber 21.10.2012 12:00
Kommst Du in das Bootmenü wo Du auswählen kannst von Wo du booten willst? Wenn ja, erst dann den Stick anstecken.

darrinneu 21.10.2012 12:02
ja das habe ich schon versucht.
Kann den Stick erst anstecken wenn ich bei der Reparatur bin.
Versuchs jetzt aber nochmal.

es geht leider nicht...

darrinneu 21.10.2012 12:59
Habe im Bios den USB-Legacy Support deaktiviert. Jetzt könnte ich mir angeschlossenem Stick starten und habe den Log!

schrauber 21.10.2012 17:42
Logs bitte nicht anhängen sondern direkt im Thread posten.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Neu booten, Combofix nochmal laufen lassen.

darrinneu 21.10.2012 18:17
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-10-2012
Ran by SYSTEM at 2012-10-21 19:12:46 Run:1
Running from G:\

==============================================

C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a} moved successfully.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@ not found.
C:\Windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@ not found.
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.

==== End of Fixlog ====

schrauber 21.10.2012 18:32
Nun Combofix.

darrinneu 21.10.2012 18:57
Combofix Logfile:
Code:
ComboFix 12-10-21.02 - DM 21.10.2012  19:22:32.1.2 - x64
Microsoft Windows 7 Ultimate  6.1.7601.1.1252.49.1031.18.4095.3033 [GMT 2:00]
ausgeführt von:: c:\users\DM\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\00000004.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\L\201d3dde
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000004.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\00000008.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\000000cb.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000000.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000032.@
c:\windows\Installer\{97606017-b105-8336-2ebf-dfebf9d6ac0a}\U\80000064.@
c:\windows\SysWow64\URTTemp
c:\windows\SysWow64\URTTemp\regtlib.exe
.
Infizierte Kopie von c:\windows\system32\Services.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-09-21 bis 2012-10-21  ))))))))))))))))))))))))))))))
.
.
2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Local\temp
2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\users\Default\AppData\Local\temp
2012-10-21 17:46 . 2012-10-21 17:46        --------        d-----w-        c:\users\Administrator\AppData\Local\temp
2012-10-21 12:41 . 2012-10-21 12:41        --------        d-----w-        C:\FRST
2012-10-21 11:47 . 2012-10-21 11:47        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Roaming\ATI
2012-10-21 11:47 . 2012-10-21 11:47        --------        d-----w-        c:\windows\system32\config\systemprofile\AppData\Local\ATI
2012-10-12 16:09 . 2012-10-12 16:09        --------        d-sh--w-        c:\windows\SysWow64\%APPDATA%
2012-10-12 15:11 . 2012-10-12 15:25        --------        d-----w-        c:\users\DM\AppData\Roaming\PreisHai4
2012-10-12 15:11 . 2012-10-12 15:11        --------        d-----w-        c:\program files (x86)\PreisHai4
2012-10-12 15:11 . 2010-01-02 10:12        3133952        ----a-w-        c:\windows\SysWow64\ImageEnXLibrary.ocx
2012-10-12 15:11 . 2009-10-02 10:37        115712        ----a-w-        c:\windows\SysWow64\sevClb20.ocx
2012-10-12 15:11 . 2009-04-29 21:33        975192        ----a-w-        c:\windows\SysWow64\wodHttp.dll
2012-10-12 15:11 . 2007-10-12 15:58        753664        ----a-w-        c:\windows\SysWow64\iGrid300_10Tec.ocx
2012-10-12 15:11 . 2005-08-30 07:51        126976        ----a-w-        c:\windows\SysWow64\sevTrayIcon.ocx
2012-10-12 15:11 . 2000-10-01 23:00        125712        ----a-w-        c:\windows\SysWow64\vb6de.dll
2012-10-06 13:52 . 2012-10-06 13:52        --------        d-----w-        c:\users\DM\AppData\Roaming\Navigram
2012-10-06 13:52 . 2012-10-06 13:52        --------        d-----w-        c:\program files (x86)\Navigram
2012-10-06 13:51 . 2012-10-06 13:51        --------        d-----w-        c:\program files (x86)\Common Files\ParallelGraphics
2012-10-06 13:51 . 2012-10-06 13:52        --------        d-----w-        c:\program files (x86)\C.online
2012-09-24 22:27 . 2012-09-24 22:27        --------        d-----w-        c:\users\DM\AppData\Local\libimobiledevice
2012-09-24 21:55 . 2012-08-21 11:01        33240        ----a-w-        c:\windows\system32\drivers\GEARAspiWDM.sys
2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\programdata\34BE82C4-E596-4e99-A191-52C6199EBF69
2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files\iTunes
2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files (x86)\iTunes
2012-09-24 21:55 . 2012-09-24 21:55        --------        d-----w-        c:\program files\iPod
2012-09-24 21:50 . 2012-09-25 21:09        --------        d-----w-        c:\users\DM\AppData\Roaming\redsn0w
2012-09-24 21:30 . 2012-09-24 21:30        --------        d-----w-        c:\users\Administrator\AppData\Local\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-21 11:01 . 2012-03-27 17:44        125872        ----a-w-        c:\windows\system32\GEARAspi64.dll
2012-08-21 11:01 . 2012-03-27 17:44        106928        ----a-w-        c:\windows\SysWow64\GEARAspi.dll
2007-03-12 16:59 . 2007-03-12 16:59        299008        ----a-w-        c:\program files (x86)\navigram_register.exe
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-10-23 202024]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-13 98304]
"NBKeyScan"="c:\program files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"BrStsMon00"="c:\program files (x86)\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"LGODDFU"="c:\program files (x86)\lg_fwupdate\fwupdate.exe" [2008-10-01 548864]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Event Reminder.lnk - c:\program files (x86)\PrintMaster 16\pmremind.exe [2006-10-29 339968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=0 (0x0)
.
R3 BTCFilterService;USB Networking Driver Filter Service;c:\windows\system32\DRIVERS\motfilt.sys [2009-01-29 6144]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 motandroidusb;Mot ADB Interface Driver;c:\windows\system32\Drivers\motoandroid.sys [2009-07-10 31744]
R3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\DRIVERS\motccgp.sys [2011-04-04 21504]
R3 motccgpfl;MotCcgpFlService;c:\windows\system32\DRIVERS\motccgpfl.sys [2009-01-29 9216]
R3 Motousbnet;Motorola USB Networking Driver Service;c:\windows\system32\DRIVERS\Motousbnet.sys [2010-04-01 26624]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2010-11-21 20992]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [2010-11-21 88960]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [2010-11-21 34816]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [2010-11-21 117248]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2012-07-09 52736]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-03-10 283200]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-01-14 202752]
S2 MotoHelper;MotoHelper Service;c:\program files (x86)\Motorola\MotoHelper\MotoHelperService.exe [2011-04-26 223088]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2010-01-14 6327296]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-01-14 185344]
S3 athur;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athurx.sys [2010-01-05 1847296]
S3 BrYNSvc;BrYNSvc;c:\program files (x86)\Browny02\BrYNSvc.exe [2010-01-25 245760]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-07-30 236544]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2916643435-1745955518-3813016959-1000Core.job
- c:\users\DM\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 22:35]
.
2012-10-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2916643435-1745955518-3813016959-1000UA.job
- c:\users\DM\AppData\Local\Google\Update\GoogleUpdate.exe [2012-02-19 22:35]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-08-18 8067616]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local;192.168.*.*
IE: Nach Microsoft E&xel exportieren - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Shockwave - c:\windows\System32\Macromed\SHOCKW~1\UNWISE.EXE
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files (x86)\Motorola\MotoHelper\MotoHelperAgent.exe
c:\program files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
c:\program files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe
c:\program files (x86)\Brother\ControlCenter3\brccMCtl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-21  19:52:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-10-21 17:52
.
Vor Suchlauf: 11 Verzeichnis(se), 13.114.712.064 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 14.539.309.056 Bytes frei
.
- - End Of File - - 67DEEDD6D070BAD3F3C5FD17D2AC382E
--- --- ---

schrauber 21.10.2012 19:14
Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
(nach dem scannen auf den Button klicken und Funde löschen lassen!)





ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset






Und jetzt bitte nochmal OTL versuchen.

darrinneu 21.10.2012 19:22
Malwarebytes Anti-Malware 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.10.21.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
DM :: DM-PC [Administrator]

21.10.2012 20:19:22
mbam-log-2012-10-21 (20-19-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 226990
Laufzeit: 1 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

schrauber 21.10.2012 19:24
Und weiter im Text :)

darrinneu 21.10.2012 20:40
Der eset scan dauert noch ein paar Stunden glaub ich
weil jetzt 4 Platten durchsucht werden. Läuft jetzt eine Stunde und ist bei 18%.

Ist es schonmal ein gutes Zeichen wenn malwarebytes nichts mehr findet?

schrauber 22.10.2012 06:34
Ja ist es :)

darrinneu 29.10.2012 22:21
Hallo Schrauber,
habe jetzt endlich den ESET-Scan fertig.
Musste ihn einige Male abbrechen, da er so lange gedauert hat.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:23 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55