Trojaner-Board - TrojanGeneric.KDV.617269(EngineA) // Trojan Downloader.NurechX (EngineA) usw.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TrojanGeneric.KDV.617269(EngineA) // Trojan Downloader.NurechX (EngineA) usw. (https://www.trojaner-board.de/126623-trojangeneric-kdv-617269-enginea-trojan-downloader-nurechx-enginea-usw.html)

Nachfolgend der Bericht von CCleaner, Extras, Autostartliste:

Code:

 

Ja        HKCU:Run        AshSnap                C:\Program Files (x86)\Ashampoo\Ashampoo Snap 6\ashsnap.exe

Ja        HKCU:Run        ISUSPM        Acresso Corporation        "C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe" -scheduler

Ja        HKCU:Run        Sidebar        Microsoft Corporation        C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

Ja        HKLM:Run        Acronis Scheduler2 Service        Acronis        "C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe"

Ja        HKLM:Run        Adobe ARM        Adobe Systems Incorporated        "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

Ja        HKLM:Run        AMD AVT        Microsoft Corporation        Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml

Ja        HKLM:Run        AVK Client        G Data Software AG        "C:\Program Files (x86)\G Data\AVKClient\AVKCl.exe" /GUI

Ja        HKLM:Run        BCSSync        Microsoft Corporation        "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices

Ja        HKLM:Run        BrMfcWnd        Brother Industries, Ltd.        C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

Ja        HKLM:Run        ControlCenter3        Brother Industries, Ltd.        C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun

Ja        HKLM:Run        [Datenunternehmen] Update-Monitor        [Datenunternehmen] eG        "C:\[Datenunternehmen]\PROGRAMM\Install\DvInesASDMon.exe"

Ja        HKLM:Run        [Datenunternehmen]_SCardMan                

Ja        HKLM:Run        HotKeysCmds        Intel Corporation        C:\Windows\system32\hkcmd.exe

Ja        HKLM:Run        hpsysdrv        Hewlett-Packard        c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe

Ja        HKLM:Run        IgfxTray        Intel Corporation        C:\Windows\system32\igfxtray.exe

Ja        HKLM:Run        IMSS        Intel Corporation        "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe"

Ja        HKLM:Run        Nuance PDF Converter Professional 7-reminder        Nuance Communications, Inc.        "C:\Program Files (x86)\Nuance\PDF Professional 7\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\PDF Converter Professional 7\Ereg\Ereg.ini"

Ja        HKLM:Run        PDF7 Registry Controller        Nuance Communications, Inc.        C:\Program Files (x86)\Nuance\PDF Professional 7\RegistryController.exe

Ja        HKLM:Run        PDFHook        Nuance Communications, Inc.        C:\Program Files (x86)\Nuance\PDF Professional 7\pdfpro7hook.exe

Ja        HKLM:Run        Persistence        Intel Corporation        C:\Windows\system32\igfxpers.exe

Ja        HKLM:Run        RtHDVCpl        Realtek Semiconductor        C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s

Ja        HKLM:Run        SiPaHost        [Datenunternehmen] eG        C:\[Datenunternehmen]\PROGRAMM\B0000398\SiPaHost.exe C:\[Datenunternehmen]\KONFIG\B0000398

Ja        HKLM:Run        StartCCC        Advanced Micro Devices, Inc.        "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

Ja        HKLM:Run        SunJavaUpdateSched        Sun Microsystems, Inc.        "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

Ja        HKLM:Run        TrueImageMonitor.exe        Acronis        "C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe"

Ja        Startup Common        Basisschnittstelle Office Initialisierung.lnk        [Datenunternehmen] eG        C:\[Datenunternehmen]\PROGRAMM\BSoffice\service\OfficeDiag.exe

Ja        Startup Common        CleanupPrintJobs.lnk        TODO: <Firmenname>        C:\[Datenunternehmen]\PROGRAMM\B0001401\CleanupPrintJobs.exe

Ja        Startup Common        [Datenunternehmen]-Hinweis Mitteilungsdienst.lnk                C:\[Datenunternehmen]\PROGRAMM\A0000007\DHNC.exe

Ja        Startup Common        DFÜ-Manager.lnk        [Datenunternehmen] eG        C:\[Datenunternehmen]\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe

Ja        Startup Common        RZ-Druckertreiber V.2.3.lnk        [Datenunternehmen] eG        C:\[Datenunternehmen]\SYSTEM\rzpjwtch.exe

Ja        Startup Common        SkyUserDevmode-Update.lnk        [Datenunternehmen] eG        C:\[Datenunternehmen]\PROGRAMM\B0001401\UpdateDevmode.exe

Ja        Startup Common        TK-Suite Client.lnk        AGFEO              C:\Program Files (x86)\AGFEO\Tk-Suite\tools\ctimon.exe

Ja        Startup User        klickTel OEM Frühjahr 2010 - Schnellstarter.lnk        telegate MEDIA AG        C:\Program Files (x86)\klickTel\klickTel OEM Frühjahr 2010\KSTART32.EXE

Ja        Startup User        Lotus Organizer EasyClip.lnk        Lotus Development Corporation        C:\lotus\organize\easyclip6.exe

Ja        Startup User        PhraseExpress Diagnose-Modus.lnk        Bartels Media GmbH        C:\Program Files (x86)\PhraseExpress\phraseexpress.exe

Ja        Startup User        TK-Suite Client.lnk        AGFEO              C:\Program Files (x86)\AGFEO\Tk-Suite\tools\ctimon.exe

Ich hatte meine OTL-Einstellungen mit der Datei PC01_Virenfund_20121101_OTL_Einstellung_1.jpg hochgeladen.
Waren die Einstellungen so ok oder sollten diese grundsätzlich verändert werden?

ok, nimm mal alle Haken raus außer bei
Acronis, GDATA, HotKeysCmds, Datenunternehmen, hpsysdrv, TrueImageMonitor,
Bei den Startup handelt es sich um die Schnellstart leiste, da musst du mal gucken, was du da benötigst.
Starte dann mal neu, und gucke, ob der PC jetzt besser läuft.
Wenn irgendwas fehlen sollte, können wir es wieder anhaken.
Bei OTL hast du doch schon die Extras.txt gepostet, bitte poste von dem selben Scan auch die OTL.txt

Hi Marcus,
wegen der Größe musste ich die OTL-Datei zippen. Im Anhang habe ich diese hochgeladen mit: PC01_Virenfund_20121101__OTL_am_20121121_1_fuer_Trojanerforum.zip
Habe ich bei OTL die richtigen Parameter gesetzt?
Ich hatte meine OTL-Einstellungen mit der Datei PC01_Virenfund_20121101_OTL_Einstellung_1.jpg hochgeladen.
Die Deaktivierungen im Autostart (in CCleaner) werde ich heute Früh vornehmen.

Ergänzung wegen meinem Tastaturproblem:
Habe gestern alle Tastaturtreiber enfernt.
PC herunter gefahren.
PS2-Tastatur abgesteckt.
Neue USB-Tastatur drangehängt.
PC hochgefahren.
Im Gerätemanager werden mir wieder 2 Tastaturen angezeigt.
Schließt Du einen Zusammenhang mit dem Virenproblem aus?

Hi,
ich denke, da besteht kein Zusammenhang, die Reinstalation der Treiber ist normal.
schauen wir erst mal, was das deaktivieren im Autostart bringt.
Kannst du auch zusätzlich Malwarebytes deinstalieren, es kann auch der Treiber von MBAM sein, der die Problemeverursacht.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O2:64bit: - BHO: (no name) - {557F4852-8868-44dd-B5E9-9890AC4B1FD5} - No CLSID value found.

O2:64bit: - BHO: (no name) - {6EF6B546-25FB-455B-801F-FDB3B3D39F9E} - No CLSID value found.

O2 - BHO: (no name) - {557F4852-8868-44dd-B5E9-9890AC4B1FD5} - No CLSID value found.

O4 - HKLM..\Run: [[Datenunternehmen]_SCardMan]  File not found

 :Files

:Commands

[EMPTYFLASH] 

[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

Hi Marcus,
hier das Ergebnis von OTL

Code:

 

All processes killed

========== OTL ==========

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6EF6B546-25FB-455B-801F-FDB3B3D39F9E}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{557F4852-8868-44dd-B5E9-9890AC4B1FD5}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\[Datenunternehmen not found.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: Admin

 

User: Administrator

 

User: All Users

 

User: Default

 

User: Default User

 

User: [Name]

->Flash cache emptied: 506 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: Admin

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Administrator

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: [Name]

->Temp folder emptied: 4239423 bytes

->Temporary Internet Files folder emptied: 9957521 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 65523989 bytes

->Opera cache emptied: 272 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 102708483 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes

RecycleBin emptied: 49060732 bytes

 

Total Files Cleaned = 221,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 11222012_021542
 

Files\Folders moved on Reboot...

C:\Users\[Name]\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File\Folder C:\Windows\temp\hsperfdata_PC01$\3048 not found!

File\Folder C:\Windows\temp\TMP0000000596669B6B64C0B3EF not found!

File move failed. C:\Windows\temp\TmpFile1 scheduled to be moved on reboot.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

Hi Marcus,
ich habe alle von Dir bezeichneten Autostartdateien über das CCleaner-Programm deinstalliert.
Heute habe ich folgende Auffälligkeiten festgestellt:
* Beim Starten von Firefox steht in der Eingabezeile:
Search
Beim Blättern im Internet habe ich gelesen, dass diese Angabe virenverbunden sein soll.
Beim Öffnen mit Opera kam diese Meldung nicht
Beim Öffnen mit dem Internet explorer erschien „search.nu“ kurz im Suchfeld, soweit ich das auf die Schnelle erkennen konnte. Die Anzeige verschwand dann wieder.
Nach einem nochmaligen Start des Internetexplorers erschien diese Meldung nicht mehr.
Auffällig war mich auch, dass ich einen Virenscan mit GData Antivirus durchführen wollte. Das Programm startete (erkennbar an einem kreisenden GData-Symbol rechts unten am Monitor. Das Vorschaufenster, in dem die Ergebnisse angezeigt werden wurde nicht angezeigt.
* Das Tastaturproblem (Enter und Tabulator lösen nicht oder verzögert aus) ist nach wie vor vorhanden. Nach Deinen Angaben aber nicht virenverbunden.

hi
lade mal hitmanpro:
HitmanPro Download - HitmanPro 3.6.2.171 (64 Bit)
Doppelklick, lizense, activate test lizense.
Dann Scan, starte ihn, nichts löschen am ende, Log als XML exportieren und posten

Hi Marcus,
beim Prüfen meiner „Eigenschaften von Internet“ hatte ich beim Eintrag der Startseite festgestellt, dass dort eingetragen war:
hxxp://www.searchnu.com/102
Der Eintrag wurde sicher nicht von mir vorgenommen.
Ich habe das sofort geändert auf www.google.de.
HitmanPro habe ich gem. Link installiert.
Einen Reiter „Lizenz“ habe ich nach Auslösen des Buttons „Einstellungen“ angeklickt.
Beim Reiter Lizenz wird mir nicht angeboten: „activate test lizense“.
Ich kann dort nur anklicken: „Ich habe keinen Produktschlüssel“
Weiterführend sollte dann ein Lizenz erworben werden. Dies habe ich nicht gemacht.
Wo liegt mein Fehler?
Ich habe das Programm neu gestartet und am Startbildschirm auf den Button „Weiter“ geklickt.
Dann „Standard Scan“
Dann „Standard Scan“
Der Scan läuft derzeit noch und wird wohl noch einige Stunden dauern.

http muss es oben natürlich heißen

unter den Einstellungen solltest du die Lizenz aktivieren können. (testlizenz)
lass den Scan aber erst mal laufen, hoffe, das log kann man dann trotzdem speichern

Hi Marcus,
hier das Ergebnis (teilweise anonymisiert):
Wegen der Übergröße als Anhang.

Hast du zwischendurch Programme instaliert?
Searchqu scheint erst frisch auf dem PC, nicht im otl log, und laut Hitmanpro erst 1 Tag alt
Laut Programm Beschreibung, muss die aktivierung der Testlizenz unter den einstellungen sein.
du kannst alles von Hitmanpro gefundene löschen lassen, und neustarten, die Umleitungen in den Browsern sollten entfernt sein.

Hi Marcus,
Programme habe ich nicht installiert.
Ich kenne Searchqu nicht und habe auch dieses Programm etc. nicht installiert.
Den Löschvorgang werde gleich vornehmen.

Hmm, sehr merkwürdig.
Ok, löschen, neustarten, testen, wie das Gerät läuft.

Hi Marcus,
der Scan muss nochmals durchlaufen.
Ich werde dann morgen das Ergebnis löschen.
Installiert hatte ich in den letzten Tagen nur die von Dir angegebenen Programme zur Virenbereinigung.
Den Eintrag www.searchnu.com/102 in den Interneteinstellungen hatte ich sicher nicht vorgenommen.
Bei den OTL-Parameter-Einstellungen war ich mir nicht sicher. Die Einstellungen hatte ich hochgeladen. Waren die Einstellungen so ok?
Beigefügt noch ein Ausschnitt von Hitmanpro.
Eine Testlizenz habe ich auf diesem Reiterblatt nicht gesehen.