Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ukash Virus - PC nun sauber ? (https://www.trojaner-board.de/112759-ukash-virus-pc-sauber.html)

DannyH 31.03.2012 13:42
Ukash Virus - PC nun sauber ?
 
Mein Problem ist Folgendes: Gestern Abend habe ich mir - woher ist mir schleierhaft - den "Bundespolizei Virus" geholt. Ich gehe davon aus, dass die meisten wissen wovon ich rede.

Jedenfalls habe ich daraufhin den PC im Safe Modus gestartet und sofort eine Systemwiederherstellung durchgeführt. Siehe da der PC läuft wieder im normalen Modus. Nachdem ich mich über Google etwas eingelesen hatte, entschloss ich mich Malwarebytes einzusetzen, da es praktisch von jedem empfohlen und als effektiv eingestuft wurde. Ich ließ also das Programm mal alles durchscannen und habe dann einige Dateien gelöscht, die mir als infiziert erklärt wurden. Ende des gestrigen Tages. Heute das Programm nochmal drüber laufen lassen und nochmal eine Datei gelöscht (eventuell hatte ich die am Vortag übersehen anzuhaken). Dann fand ich heraus, dass durch die Systemwiederherstellung mein Avast stoppte zu funktionieren, also neuen Client gezogen und so wie ich das hier schreibe lasse ich den ebenfalls nochmals alles durchscannen.

Ich habe bereits auf diversen Seiten gelesen, dass gewisse Einträge im regedit zu ändern seien (Stichwort Shell), bzw. Exen wie jashla und weitere (aus Autostart) zu entfernen seien, allerdings finde ich weder das eine noch das andere auf meinem PC.

Nun stelle ich mir die Frage - sollte Avast nichts finden, bin ich das Übel dann los ? Ich will mir absolut sicher sein bevor ich mich das nächste mal an Online Banking traue.



DDS:

Code:
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.7600.16385  BrowserJavaVersion: 1.6.0_26
Run by xD at 23:02:34 on 2012-03-30
Microsoft Windows 7 Ultimate  6.1.7600.0.1252.43.1033.18.3326.2245 [GMT 2:00]
.
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\atieclxx.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Creative\Volume Panel\VolPanlu.exe
C:\Program Files\Logitech\GamePanel Software\LGDevAgt.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Mozilla Firefox\New_Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\conhost.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
mURLSearchHooks: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
BHO: Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: DivX Plus Web Player HTML5 <video>: {326e768d-4182-46fd-9c16-1449a49795f4} - c:\program files\divx\divx plus web player\ie\divxhtml5\DivXHTML5.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll
BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
BHO: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
BHO: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
TB: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - c:\program files\vuze_remote\tbVuze.dll
TB: FrostWire Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\alwil software\avast5\aswWebRepIE.dll
EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [Google Update] "c:\users\xd\appdata\local\google\update\GoogleUpdate.exe" /c
uRun: [AdobeUpdater] "c:\program files\common files\adobe\updater5\AdobeUpdater.exe"
mRun: [VolPanel] "c:\program files\creative\volume panel\VolPanlu.exe" /r
mRun: [Launch LgDeviceAgent] "c:\program files\logitech\gamepanel software\LgDevAgt.exe"
mRun: [Launch LGDCore] "c:\program files\logitech\gamepanel software\g-series software\LGDCore.exe" /SHOWHIDE
mRun: [IntelliPoint] "c:\program files\microsoft intellipoint\ipoint.exe"
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [Acrobat Assistant 8.0] "c:\program files\adobe\acrobat 8.0\acrobat\Acrotray.exe"
mRun: [<NO NAME>]
mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [DivXUpdate] "c:\program files\divx\divx update\DivXUpdate.exe" /CHECKNOW
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRun: [avast] "c:\program files\alwil software\avast5\avastUI.exe" /nogui
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\adobea~1.lnk - c:\windows\installer\{ac76ba86-1033-f400-7760-000000000003}\_SC_Acrobat.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: An vorhandenes PDF anfügen - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {88EB38EF-4D2C-436D-ABD3-56B232674062} - c:\program files\icq7.0\ICQ.exe
IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\users\xd\desktop\PartyPoker.lnk
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - hxxp://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab
TCP: DhcpNameServer = 10.0.0.138
TCP: Interfaces\{0D1A59D9-D8AF-45AD-A6EB-3C8993869D16} : DhcpNameServer = 10.0.0.138
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xd\appdata\roaming\mozilla\firefox\profiles\m7tdh9jh.default\
FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\divx\divx ovs helper\npovshelper.dll
FF - plugin: c:\program files\divx\divx plus web player\npdivx32.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\google\update\1.3.21.99\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\users\xd\appdata\local\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\users\xd\appdata\local\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\new_firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\mozilla firefox\new_firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: DivX Plus Web Player HTML5 &lt;video&gt;: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\program files\divx\divx plus web player\firefox\DivXHTML5
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\alwil software\avast5\webrep\FF
.
============= SERVICES / DRIVERS ===============
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-3-30 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-1-9 337880]
R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-3-3 172032]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-9 20696]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-1-9 57688]
R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2010-3-18 44768]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-29 652360]
R2 TeamViewer7;TeamViewer 7;c:\program files\teamviewer\version7\TeamViewer_Service.exe [2012-2-19 3027840]
R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atipmdag.sys [2010-3-3 5340160]
R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2010-3-3 152064]
R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]
R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-29 20464]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]
S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2010-1-9 79360]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2010-1-9 79360]
S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]
S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]
S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2010-8-28 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]
S3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\wat\WatAdminSvc.exe [2012-3-30 1343400]
.
=============== Created Last 30 ================
.
.
==================== Find3M  ====================
.
2012-03-06 23:15:19        41184        ----a-w-        c:\windows\avastSS.scr
2012-03-06 23:03:51        612184        ----a-w-        c:\windows\system32\drivers\aswSnx.sys
2012-03-06 23:02:14        44376        ----a-w-        c:\windows\system32\drivers\aswRdr2.sys
2012-03-06 23:01:48        57688        ----a-w-        c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 07:18:36        237072        ------w-        c:\windows\system32\MpSigStub.exe
2012-02-15 05:44:57        826368        ----a-w-        c:\windows\system32\rdpcore.dll
2012-02-15 04:22:43        177152        ----a-w-        c:\windows\system32\drivers\rdpwd.sys
2012-02-15 04:22:18        24064        ----a-w-        c:\windows\system32\drivers\tdtcp.sys
2012-02-10 05:41:38        1074176        ----a-w-        c:\windows\system32\DWrite.dll
2012-02-10 05:41:20        218624        ----a-w-        c:\windows\system32\d3d10_1core.dll
2012-02-10 05:41:20        161792        ----a-w-        c:\windows\system32\d3d10_1.dll
2012-02-10 05:41:20        1170944        ----a-w-        c:\windows\system32\d3d10warp.dll
2012-02-10 05:41:19        739840        ----a-w-        c:\windows\system32\d2d1.dll
2012-02-03 04:01:58        2341376        ----a-w-        c:\windows\system32\win32k.sys
2012-01-25 05:44:51        57856        ----a-w-        c:\windows\system32\rdpwsx.dll
2012-01-25 05:44:50        129536        ----a-w-        c:\windows\system32\rdpcorekmts.dll
2012-01-25 05:40:26        8192        ----a-w-        c:\windows\system32\rdrmemptylst.exe
2012-01-04 00:48:42        354176        ----a-w-        c:\windows\system32\DivXControlPanelApplet.cpl
.
============= FINISH: 23:03:18,14 ===============
--- --- ---


Im Anhang befinden sich die Dateien Attach und Gmer.

cosinus 02.04.2012 13:09
Zitat:
ich mich Malwarebytes einzusetzen, da es praktisch von jedem empfohlen und als effektiv eingestuft wurde. Ich ließ also das Programm mal alles durchscannen und habe dann einige Dateien gelöscht, die mir als infiziert erklärt wurden.
Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

DannyH 05.04.2012 12:53
Folgende Logfiles sind alle von Malwarebytes:

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.01.13.04

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
xD :: XD-PC [limitiert]

Schutz: Aktiviert

29.03.2012 20:46:27
mbam-log-2012-03-29 (20-46-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 569104
Laufzeit: 1 Stunde(n), 23 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 15
C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\AppData\Roaming\658703.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\lD45103OeBbJ45103\lD45103OeBbJ45103.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\GTA 4\Grand Theft Auto IV\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Spiele\AoC\AoC-EU-EarlyAccess.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\GTA.IV.Crack.Securom.Bypass.Launcher.UBER-PROPER-FeD0R\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\keksfourgta\grand_theft_auto_crack\GTA.IV.Crack.Only.READNFO-0x0008\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.30.02

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
xD :: XD-PC [Administrator]

Schutz: Aktiviert

30.03.2012 14:17:06
mbam-log-2012-03-30 (14-17-06).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 584128
Laufzeit: 1 Stunde(n), 21 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Casino Del Rio (PUP.Casino) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Noble Poker (PUP.Casino) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Users\xD\Downloads\SetupCasino.exe_8f12e1.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Users\xD\Downloads\SoftonicDownloader_fuer_librecad.exe (PUP.BundleOffer.Downloader.S) -> Keine Aktion durchgeführt.
C:\Casino\Casino Del Rio\_SetupCasino.exe_c37502.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Poker\Noble Poker\_SetupPoker_e4d386.exe (PUP.Casino) -> Keine Aktion durchgeführt.
V:\Windows\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\misc.exe (Backdoor.Bifrose) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
2012/03/29 20:46:04 +0200        XD-PC        xD        MESSAGE        Starting protection
2012/03/29 20:46:07 +0200        XD-PC        xD        MESSAGE        Protection started successfully
2012/03/29 20:46:10 +0200        XD-PC        xD        MESSAGE        Starting IP protection
2012/03/29 20:46:10 +0200        XD-PC        xD        MESSAGE        IP Protection started successfully
2012/03/29 20:48:39 +0200        XD-PC        xD        MESSAGE        Executing scheduled update:  Daily
2012/03/29 20:48:39 +0200        XD-PC        xD        ERROR        Scheduled update failed:  No address found failed with error code 11004
Code:
2012/03/30 14:13:29 +0200        XD-PC        xD        MESSAGE        IP Protection started successfully
2012/03/30 14:15:53 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49162, Process: svchost.exe)
2012/03/30 14:15:53 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49163, Process: svchost.exe)
2012/03/30 14:15:53 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49164, Process: svchost.exe)
2012/03/30 14:15:53 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49165, Process: svchost.exe)
2012/03/30 14:16:47 +0200        XD-PC        xD        MESSAGE        Starting database refresh
2012/03/30 14:16:47 +0200        XD-PC        xD        MESSAGE        Stopping IP protection
2012/03/30 14:17:42 +0200        XD-PC        xD        MESSAGE        IP Protection stopped
2012/03/30 14:17:44 +0200        XD-PC        xD        MESSAGE        Database refreshed successfully
2012/03/30 14:17:44 +0200        XD-PC        xD        MESSAGE        Starting IP protection
2012/03/30 14:17:44 +0200        XD-PC        xD        MESSAGE        IP Protection started successfully
2012/03/30 14:26:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49412, Process: svchost.exe)
2012/03/30 14:26:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49413, Process: svchost.exe)
2012/03/30 14:26:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49414, Process: svchost.exe)
2012/03/30 14:26:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49415, Process: svchost.exe)
2012/03/30 14:36:05 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49616, Process: svchost.exe)
2012/03/30 14:36:05 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49617, Process: svchost.exe)
2012/03/30 14:36:05 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49618, Process: svchost.exe)
2012/03/30 14:36:05 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49619, Process: svchost.exe)
2012/03/30 14:46:04 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 50363, Process: svchost.exe)
2012/03/30 14:46:04 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 50364, Process: svchost.exe)
2012/03/30 14:46:04 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 50365, Process: svchost.exe)
2012/03/30 14:46:05 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 50366, Process: svchost.exe)
2012/03/30 14:56:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 50488, Process: svchost.exe)
2012/03/30 14:56:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 50489, Process: svchost.exe)
2012/03/30 14:56:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 50490, Process: svchost.exe)
2012/03/30 14:56:09 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 50491, Process: svchost.exe)
2012/03/30 16:34:52 +0200        XD-PC        xD        MESSAGE        Starting protection
2012/03/30 16:34:56 +0200        XD-PC        xD        MESSAGE        Protection started successfully
2012/03/30 16:34:59 +0200        XD-PC        xD        MESSAGE        Starting IP protection
2012/03/30 16:35:00 +0200        XD-PC        xD        MESSAGE        IP Protection started successfully
2012/03/30 18:39:47 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49479, Process: svchost.exe)
2012/03/30 18:39:47 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49480, Process: svchost.exe)
2012/03/30 18:39:47 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49481, Process: svchost.exe)
2012/03/30 18:39:47 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49482, Process: svchost.exe)
2012/03/30 18:49:46 +0200        XD-PC        xD        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49641, Process: svchost.exe)
2012/03/30 18:49:46 +0200        XD-PC        xD        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49642, Process: svchost.exe)
2012/03/30 18:49:46 +0200        XD-PC        xD        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49643, Process: svchost.exe)
2012/03/30 18:49:46 +0200        XD-PC        xD        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49644, Process: svchost.exe)
2012/03/30 18:59:47 +0200        XD-PC        (null)        IP-BLOCK        82.98.97.206 (Type: outgoing, Port: 49684, Process: svchost.exe)
2012/03/30 18:59:47 +0200        XD-PC        (null)        IP-BLOCK        82.98.97.183 (Type: outgoing, Port: 49685, Process: svchost.exe)
2012/03/30 18:59:47 +0200        XD-PC        (null)        IP-BLOCK        82.98.97.203 (Type: outgoing, Port: 49686, Process: svchost.exe)
2012/03/30 18:59:47 +0200        XD-PC        (null)        IP-BLOCK        82.98.97.185 (Type: outgoing, Port: 49687, Process: svchost.exe)
2012/03/30 20:11:10 +0200        XD-PC        xD        MESSAGE        Starting protection
2012/03/30 20:11:13 +0200        XD-PC        xD        MESSAGE        Protection started successfully
2012/03/30 20:11:16 +0200        XD-PC        xD        MESSAGE        Starting IP protection
2012/03/30 20:11:17 +0200        XD-PC        xD        MESSAGE        IP Protection started successfully
2012/03/30 20:41:26 +0200        XD-PC        xD        IP-BLOCK        212.117.163.100 (Type: outgoing, Port: 50067, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200        XD-PC        xD        IP-BLOCK        212.117.163.100 (Type: outgoing, Port: 50068, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200        XD-PC        xD        IP-BLOCK        212.117.163.100 (Type: outgoing, Port: 50072, Process: avastsvc.exe)
2012/03/30 20:41:26 +0200        XD-PC        xD        IP-BLOCK        212.117.163.100 (Type: outgoing, Port: 50073, Process: avastsvc.exe)

cosinus 05.04.2012 14:09
Zitat:
V:\Users\dani\Downloads\GTA.IV.Crack.Securom.Bypass.Launcher.UBER-PROPER-FeD0R\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
V:\Users\dani\Downloads\keksfourgta\grand_theft_auto_crack\GTA.IV.Crack.Only.READNFO-0x0008\LaunchGTAIV.exe (Packer.ModifiedUPX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Du hast dir dein System leider selbst mit Cracks verhunzt! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

DannyH 05.04.2012 23:14
Ich muss dich leider enttäuschen, aber diese Cracks sind etwas über 3 Jahre alt und nicht einmal auf meiner aktuell genützten Partition (Dualboot, die Dateien wovon du sprichst befinden sich auf einer alten Vista Partition).

Ich kann also mit 100 % iger Wahrscheinlichkeit sagen, dass diese rein GARNICHTS mit meinem Virus Problem zu tun haben.

Ich hätte diese Zeilen durchaus entfernen können bevor ich die Logs hier gepostet hätte, aber da ich mich um kompetente Hilfe bemühe, hatte ich geplant alles nach Vorschrift zu posten und nicht zu versuchen etwas zu "vertuschen".

cosinus 06.04.2012 14:17
Zitat:
Ich kann also mit 100 % iger Wahrscheinlichkeit sagen, dass diese rein GARNICHTS mit meinem Virus Problem zu tun haben.
Solche und ähnliche Ausflüchte lese ich immer wieder.
Das ist irrelvant, denn es ändert nichts daran, dass wir die Regel hier haben http://www.trojaner-board.de/95393-c...-software.html

DannyH 06.04.2012 14:29
Ich sehe zwar nicht inwiefern das eine Ausflucht sein soll, aber ich kann deine Reaktion vollkommen nachvollziehen.

Wenn es eine Möglichkeit gäbe dir zu beweisen, dass diese Cracks bereits über 3 Jahre alt sind würde ich es tun, aber es würde an dem ganzen nichts ändern, also belassen wir es dabei.

Mein Fehler, hätte besser aufpassen sollen, ich such mir woanders Hilfe.


Machs gut und trotzdem danke für deine Bemühungen.

cosinus 06.04.2012 15:10
Na, wir hören immer wieder sowas wie "die Cracks haben nichts mit dem Problem zu tun" oder "die sind schon ewig drauf" etc. pp. - alles schon 1000x Mal gehört. :sleepy:

Besonders diese Funde:

Zitat:
C:\Users\xD\AppData\Roaming\logs.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xD\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Seh ich häufiger wenn Cracks/Keygens ausgeführt wurden und an diesen ein schöner Backdoor klebte. Dein System wurde dann damals schon kompromittiert nur hast du es bis jetzt wohl noch nicht bemerkt :(

Wirklich, du solltest eine Neuinstallation machen. Dabei helfe auch noch und auch beim Daten sichern über eine Live-CD.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129