Trojaner-Board - Privacy Protection Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Privacy Protection Virus (https://www.trojaner-board.de/104929-privacy-protection-virus.html)

Privacy Protection Virus

Hallo Hallo.
hab schon seit einigen Tage ein Problem mit meinem Rechner.
Er war schon ein paar Tage recht langsam, hab mir nicht viel bei gedacht.
Samstag mach ich frühs meinen Recher an, geh nicht gleich ran. Als ich dann aber ran bin war da das "Programm" Privacy Protection geöffnet.
Ich dachte natürlich das ist ein Antivirenprogramm, es hat gerade gescannt und ich habs natürlich gelassen. Hab mich erst später gefragt wo das überhaut herkommt, ich hatte das jah nie runtergeladen.
Jetzt weiß ich das das ein Virus ist. Ein ziemlich nerviger -.-
Hatte eine Lösung gefunden, nur funktioniert sie nicht. Mit dem Progamm Trojaner Killer.
Hab schon etwas gelesen und mal so ein Hijackthis log gemacht.
Da:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:11, on 08.11.2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16766)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\system32\ctfmon.exe
E:\Daten\Daten\Programme\Firefox\firefox.exe
E:\Daten\Daten\Programme\Firefox\plugin-container.exe
C:\Windows\Explorer.EXE
C:\Users\Test\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2801948
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVD1.dll
R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O2 - BHO: NCH EN - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVD1.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO Project - {cbc5b60a-aa4d-45f6-84c2-d086f320299a} - C:\Program Files\Object\bho_project.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Daten\Daten\Programme\Java\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files\DVDVideoSoftTB\tbDVD1.dll
O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file)
O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files\NCH_EN\prxtbNCH_.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "E:\Daten\Daten\Programme\Webcam\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
O4 - HKCU\..\Run: [ICQ] "E:\Daten\Daten\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [Privacy Protection] C:\ProgramData\privacy.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Users\Test\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Updates\ICQUpdater.eXe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Updates\ICQUpdater.eXe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Test\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Daten\Daten\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Daten\Daten\Programme\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O10 - Unknown file in Winsock LSP: e:\daten\daten\speedb~1\sblsp.dll
O13 - Gopher Prefix:
O20 - Winlogon Notify: !SASWinLogon - C:\Users\Test\SASWINLO.DLL
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Users\Test\SASCORE.EXE
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Browser Schutz (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvsvc32.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - E:\Daten\Daten\Programme\tu11\TuneUpUtilitiesService32.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - E:\Daten\Daten\SPEEDB~1\VideoAcceleratorService.exe

--
End of file - 8079 bytes

Helft mir bitte D:
Ich mag mein System nicht neu machen >.<

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

Doppelklick auf die
OTL.exe

Vista und Win7 User mit Rechtsklick "als Administrator starten"
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan
links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Okay mach ich.
Wenn ich auf Run Scan klicke, stellt sich aber das Use SafeList auf aus. Muss das so sein?

So, da sind sie.

Übrigens kann ich nur im abgesicherten Modus überhaupt was tun, falls das noch wichtig sein sollte.
Bin jetzt also auch im abgesicherten Modus.

passt so.

achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O4 - HKLM..\Run: []  File not found

O4 - HKCU..\Run: [Privacy Protection] C:\ProgramData\privacy.exe (JetBrains s.r.o)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Updates\ICQUpdater.eXe

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Updates\ICQUpdater.eXe

:Files

C:\ProgramData\privacy.exe

C:\Updates
 

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
neustart in normalen modus versuchen
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Also, das was sich gleich nach dem Neustart geöffnet hat.
Läuft jetzt wieder im Normalen Modus.

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Privacy Protection deleted successfully.
C:\ProgramData\privacy.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Policies deleted successfully.
========== FILES ==========
File\Folder C:\ProgramData\privacy.exe not found.
C:\Updates folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: Test
->Flash cache emptied: 108577 bytes

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33197 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Test
->Temp folder emptied: 118007693 bytes
->Temporary Internet Files folder emptied: 43066204 bytes
->Java cache emptied: 7900416 bytes
->FireFox cache emptied: 200514634 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 30024 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 52989544 bytes
RecycleBin emptied: 49094656 bytes

Total Files Cleaned = 450,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 11082011_162329

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ich hab etwas ANgst was falsch zu machen D:
Also die .rar Datei auf Trojaner-Board Upload Channel hochladen?

thx für den upload.
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Der Link funktioniert gar nicht :O

hi, die scheinen grad technische probleme zu haben, versuchs mal in 30 minuten wieder.

die seite geht wieder

Hab ich vorhin schon gemerkt, danke (:

Das ist jetzt bei Fertiggestellt Stufe_42. Dauert ganz schön lange :O

hast du alle programme deaktiviert und ich hoffe du arbeitst und schreibst nicht grad von dem pc aus?

Ich hatte es angeklickt, da lief Firefox noch, der hat aber dann neu gestartet und weitergearbeitet, seitdem bin ich am Rechner meiner Mutti ^^
Ich könnte gar nichts an meinem machen, ist nur dieses blaue Kästchen auf wo dieses Fertiggestellt Zeugs drin steht.
Ist richtig so, oder?

jo, kann bei einigen pcs ne weile dauern, solangs weiter läuft passt das :-)