Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spamailversand von Laptop über HTML-Emailverkehr (hotmail) und Expolit/Virus als Ursache? (https://www.trojaner-board.de/129031-spamailversand-laptop-html-emailverkehr-hotmail-expolit-virus-ursache.html)

markusg 06.01.2013 20:26
Hi,
ich vermute keine Schadsoftware, wir machen noch 2 Scans, sichern danach den PC ab.
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

pocoloco2003 06.01.2013 20:31
Ich bin gerade mal über deinen Butten, wenn ihr uns Unterstützen wollt, gestolpert und ihm mal nachgegangen. Wenn ich nicht an eine Privatperson, sondern an einen Verein spenden würde, könnte ich diese Spende vor Angies Zugriff retten (Steuern sind gemeint). Wäre zumindest ein nettes gimmick, ich weiß nicht, wie einfach oder schwierig das in eurer Struktur einzurichten wäre.

markusg 06.01.2013 20:35
Hi,
kp is ja nicht mein Forum, bin hier nur Mitarbeiter :-) deswegen kann ich dir da nichts weiter zu sagen.

pocoloco2003 06.01.2013 20:52
hiermit auch erledigt:
Code:
ComboFix 13-01-05.01 - Basti 06.01.2013  20:42:02.1.2 - x64
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.4026.3002 [GMT 1:00]
ausgeführt von:: c:\users\Basti\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
D:\install.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-12-06 bis 2013-01-06  ))))))))))))))))))))))))))))))
.
.
2013-01-06 19:46 . 2013-01-06 19:46        --------        d-----w-        c:\users\Default\AppData\Local\temp
2013-01-05 20:34 . 2012-11-08 17:24        9125352        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{BC2505E4-8644-45BE-8579-A1962C9F4017}\mpengine.dll
2012-12-21 15:26 . 2012-12-16 16:52        46080        ----a-w-        c:\windows\system32\atmlib.dll
2012-12-21 15:26 . 2012-12-16 14:25        34304        ----a-w-        c:\windows\SysWow64\atmlib.dll
2012-12-21 15:26 . 2012-12-16 14:40        367616        ----a-w-        c:\windows\system32\atmfd.dll
2012-12-21 15:26 . 2012-12-16 14:25        295424        ----a-w-        c:\windows\SysWow64\atmfd.dll
2012-12-14 12:57 . 2012-11-14 05:55        2144768        ----a-w-        c:\windows\system32\iertutil.dll
2012-12-14 12:57 . 2012-11-14 06:06        499200        ----a-w-        c:\program files\Internet Explorer\jsdbgui.dll
2012-12-14 12:57 . 2012-11-14 02:01        678912        ----a-w-        c:\program files (x86)\Internet Explorer\iedvtool.dll
2012-12-14 12:57 . 2012-11-14 02:00        387584        ----a-w-        c:\program files (x86)\Internet Explorer\jsdbgui.dll
2012-12-14 12:57 . 2012-11-14 06:06        887296        ----a-w-        c:\program files\Internet Explorer\iedvtool.dll
2012-12-14 12:57 . 2012-11-14 07:06        17811968        ----a-w-        c:\windows\system32\mshtml.dll
2012-12-14 12:57 . 2012-11-14 06:32        10925568        ----a-w-        c:\windows\system32\ieframe.dll
2012-12-13 21:45 . 2012-12-13 21:45        16363960        ----a-w-        c:\windows\SysWow64\FlashPlayerInstaller.exe
2012-12-09 13:11 . 2012-12-13 22:32        --------        d-----w-        c:\program files (x86)\Optimizer Pro
2012-12-09 13:10 . 2012-12-09 13:10        --------        d-----w-        c:\program files (x86)\Yontoo
2012-12-09 13:10 . 2012-12-09 13:10        --------        d-----w-        c:\programdata\Tarma Installer
2012-12-09 13:10 . 2012-12-09 13:10        --------        d-----w-        c:\programdata\Babylon
2012-12-09 13:10 . 2012-12-09 13:10        --------        d-----w-        c:\users\Basti\AppData\Roaming\Babylon
2012-12-08 14:01 . 2012-12-08 14:01        --------        d--h--r-        c:\users\Basti\AppData\Roaming\SecuROM
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-13 21:45 . 2012-08-23 20:27        73656        ----a-w-        c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-12-13 21:45 . 2012-08-23 20:27        697272        ----a-w-        c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-16 21:20 . 2012-11-28 06:23        135168        ----a-w-        c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2012-10-16 21:20 . 2012-11-28 06:23        347648        ----a-w-        c:\windows\apppatch\AppPatch64\AcLayers.dll
2012-10-16 20:34 . 2012-11-28 06:23        559104        ----a-w-        c:\windows\apppatch\AcLayers.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{4DF4AC8C-FFA8-40FF-91F0-EB8389314B78}]
2010-06-09 13:28        269312        ----a-w-        c:\users\Basti\AppData\LocalLow\FoxTab\IE\FoxTab.dll
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
2012-10-24 00:36        194928        ----a-w-        c:\program files (x86)\Yontoo\YontooIEClient.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-04-13 284696]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-03-03 1300560]
"OOTag"="c:\program files (x86)\eMachines\OOBEOffer\OOTag.exe" [2010-02-23 13856]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]
.
c:\users\Basti\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files (x86)\Microsoft Office\Office14\ONENOTEM.EXE [2010-12-21 227712]
OpenOffice.org 3.4.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2012-4-19 1199104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys [2009-06-29 132608]
R3 GamesAppService;GamesAppService;c:\program files (x86)\WildTangent Games\App\GamesAppService.exe [2010-10-12 206072]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-06-29 116096]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-11-06 50432]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\System32\Drivers\RtsUStor.sys [2009-09-02 225280]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-03-03 325200]
S2 ePowerSvc;Acer ePower Service;c:\program files\eMachines\eMachines Power Management\ePowerSvc.exe [2010-04-23 867360]
S2 GREGService;GREGService;c:\program files (x86)\eMachines\Registration\GREGsvc.exe [2010-01-08 23584]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-04-13 13336]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-11-06 144640]
S2 Updater Service;Updater Service;c:\program files\eMachines\eMachines Updater\UpdaterService.exe [2010-01-28 243232]
S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2010-02-22 75304]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 09411205
*NewlyCreated* - 57413676
*Deregistered* - 09411205
*Deregistered* - 57413676
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-23 21:45]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-03-23 10134560]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-03-15 165912]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-03-15 387608]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-03-15 365592]
"Acer ePower Management"="c:\program files\eMachines\eMachines Power Management\ePowerTray.exe" [2010-04-23 861216]
"OOTag"="c:\program files (x86)\eMachines\OOBEOffer\ootag.exe" [2010-02-23 13856]
.
------- Zusätzlicher Suchlauf -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://search.babylon.com/?affID=109958&tt=4912_7&babsrc=HP_ss&mntrId=8810e3ac00000000000078e400d4c485
mDefault_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=e727&r=27360812r305l0444z115r4622r26s
mStart Page = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW&l=0407&m=e727&r=27360812r305l0444z115r4622r26s
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: An OneNote s&enden - c:\progra~2\MICROS~4\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~2\MICROS~4\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Basti\AppData\Roaming\Mozilla\Firefox\Profiles\xjaupmbj.default\
FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)
FF - prefs.js: browser.startup.homepage - tagesschau.de
FF - ExtSQL: 2012-12-09 14:10; plugin@yontoo.com; c:\users\Basti\AppData\Roaming\Mozilla\Firefox\Profiles\xjaupmbj.default\extensions\plugin@yontoo.com
FF - user.js: extentions.y2layers.installId - d91d1f1e-73a3-472c-8cc4-b4107de6a400
FF - user.js: extentions.y2layers.defaultEnableAppsList - twittube,buzzdock,YontooNewOffers
FF - user.js: extensions.autoDisableScopes - 14
FF - user.js: extensions.BabylonToolbar.tlbrSrchUrl - hxxp://search.babylon.com/?babsrc=TB_def&mntrId=8810e3ac00000000000078e400d4c485&q=
FF - user.js: extensions.BabylonToolbar.id - 8810e3ac00000000000078e400d4c485
FF - user.js: extensions.BabylonToolbar.appId - {BDB69379-802F-4eaf-B541-F8DE92DD98DB}
FF - user.js: extensions.BabylonToolbar.instlDay - 15683
FF - user.js: extensions.BabylonToolbar.vrsn - 1.8.4.9
FF - user.js: extensions.BabylonToolbar.vrsni - 1.8.4.9
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.8.4.914:10
FF - user.js: extensions.BabylonToolbar.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar.tlbrId - base
FF - user.js: extensions.BabylonToolbar.instlRef - sst
FF - user.js: extensions.BabylonToolbar.dfltLng - en
FF - user.js: extensions.BabylonToolbar_i.excTlbr - false
FF - user.js: extensions.BabylonToolbar.excTlbr - false
FF - user.js: extensions.BabylonToolbar.admin - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109958&tt=4912_7
FF - user.js: extensions.BabylonToolbar_i.babExt -
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar.autoRvrt - false
FF - user.js: extensions.BabylonToolbar.rvrt - false
FF - user.js: extensions.BabylonToolbar_i.newTab - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3473075510-1835392114-3182344411-1000\Software\SecuROM\License information*]
"datasecu"=hex:2e,e3,78,e0,17,85,8f,75,43,86,fa,3d,6c,d2,14,66,1d,56,2a,2c,13,
  e1,48,bf,18,45,a2,f0,d8,6e,93,22,49,56,3e,5f,ed,34,04,0e,48,84,23,c1,2f,98,\
"rkeysecu"=hex:19,d2,df,bd,04,b8,72,70,e6,68,a3,61,cd,c6,90,bf
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_135.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_135.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_135.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_5_502_135.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-01-06  20:48:44
ComboFix-quarantined-files.txt  2013-01-06 19:48
.
Vor Suchlauf: 9 Verzeichnis(se), 172.939.620.352 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 172.560.998.400 Bytes frei
.
- - End Of File - - 1087CE69F97C0174562F0146FE93955D
und ein weiteres Dankesckön wird fällig, :taenzer:, fühl Dich geherzt,

pocoloco

markusg 07.01.2013 18:07
Hi
sieht alles gut aus.
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

pocoloco2003 08.01.2013 16:18
Hi,

Bericht wie folgt, ich hoffe es ist der ganze, als ich merktem das das alles ist, habe ich den Suchlauf ein zweites Mal laufen lassen, ich habe nicht mehr finden können.

Zusammenfassung las sich sehr positiv:


Code:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.02

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Basti :: BASTI-PC [Administrator]

Schutz: Aktiviert

08.01.2013 13:25:04
mbam-log-2013-01-08 (13-25-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 379305
Laufzeit: 1 Stunde(n), 30 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

markusg 08.01.2013 16:21
Hi, passt.
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
prüfe dann unter rechtsklick Computer, eigenschaften.
ob das Servicepack 1 instaliert wurde, dann melden bitte

pocoloco2003 08.01.2013 16:54
danke,

schaffe ich aber erst morgen afk.

thx

pocoloco

markusg 08.01.2013 18:30
Hi
wenn du einen Tag oder so weg bist, musst du das nicht unbedingt posten :-)

pocoloco2003 09.01.2013 11:48
Zitat:
Zitat von markusg (Beitrag 985889)
Hi
wenn du einen Tag oder so weg bist, musst du das nicht unbedingt posten :-)
... wenn man hier schon so nett aufgnommen wird, finde ich das schon fair:Boogie:, in anderen Foren wird man erst einmal mit Nichtachtung gestraft, :nono:wenn man mal was nicht ganz richtig macht. :heulen:

Alles außer fünf optionalen Updates installiert. SP1 war noch nicht drauf :daumenrunter:, warscheinlich seit Kaufdatum nicht geupdated, die Jungen Draufgänger, Zzzzzz. Es muß mal ein Kaspeski drauf gewesen sein. Die Lizens war aber vor kurzem abgelaufen und in der Systemsteuerung habe ich ihn nicht mehr gefunden, wenn der sich nicht unter was völlig anderem enträgt. BS ist Windows 7, anscheinend x64, winver gibt das aber anscheinend auch nicht mit an.
Bis später,

pocoloco

markusg 09.01.2013 14:04
Hi
kannst ja mal den Kaspersky remover laufen lassen:
Entfernungs-Tool für Produkte von Kaspersky Lab
wenn du die Updates so konfigurierst, wie beschrieben, geht das alles automatisch.
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

pocoloco2003 09.01.2013 15:42
Kasperski-Remover hat seine Arbeit getan, hier die Install-Liste:

Code:
7-Zip 9.20                08.01.2013        wichtig       
Acrobat.com        Adobe Systems Incorporated        06.05.2010        1,60MB        1.6.65 unbek.
Adobe Flash Player 11 ActiveX        Adobe Systems Incorporated        12.12.2012        6,00MB        11.5.502.135  unbek.
Adobe Flash Player 11 Plugin        Adobe Systems Incorporated        13.12.2012        6,00MB        11.5.502.135  unbek.
Adobe Reader XI - Deutsch        Adobe Systems Incorporated        26.11.2012        128MB        11.0.00  unbek.
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver        Atheros Communications Inc.        16.08.2012                1.0.0.26 unbekannt
CCleaner        Piriform        19.12.2012                3.26 wichtig
eBay Worldwide        OEM        16.08.2012        100KB        2.1.0901 unbek.
eMachines Games        WildTangent        16.08.2012                1.0.0.80 unbek.
eMachines Power Management        Acer Incorporated        16.08.2012                5.00.3004 unbek.
eMachines Recovery Management        Acer Incorporated        06.05.2010                4.05.3011 unbek.
eMachines Registration        Acer Incorporated        16.08.2012                1.03.3003 unbek.
eMachines ScreenSaver        Acer Incorporated        16.08.2012                1.1.0412.2010 unbek.
eMachines Updater        Acer Incorporated        06.05.2010                1.02.3001 unbek.
Identity Card        Acer Incorporated        16.08.2012                1.00.3003 unbek.
Intel(R) Graphics Media Accelerator Driver        Intel Corporation        16.08.2012        54,2MB        8.15.10.1892 unbek.
Intel(R) Rapid Storage Technology        Intel Corporation        17.08.2012                9.6.2.1001 unbek.
Java 7 Update 7 (64-bit)        Oracle        02.09.2012        127MB        7.0.70
Launch Manager        eMachines        16.08.2012                4.0.6 bekannt, habe ich leider nicht geupdatet bekommen?
Malwarebytes Anti-Malware Version 1.70.0.1100        Malwarebytes Corporation        08.01.2013        18,4MB        1.70.0.110 bekannt
Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        25.08.2012        38,8MB        4.0.30319 unbek.
Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        25.08.2012        2,93MB        4.0.30319 unbek.
Microsoft Office Home and Student 2010        Microsoft Corporation        05.11.2012                14.0.6029.1000 bekannt
Microsoft Silverlight        Microsoft Corporation        24.08.2012        34,6MB        4.1.10329.0 unbek.
Microsoft SQL Server 2005 Compact Edition [ENU]        Microsoft Corporation        16.08.2012        1,72MB        3.1.0000 unbek.
Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022        Microsoft Corporation        02.09.2012        1,70MB        9.0.21022 unbek.
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148        Microsoft Corporation        06.05.2010        788KB        9.0.30729.4148 unbek.
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161        Microsoft Corporation        25.08.2012        788KB        9.0.30729.6161 unbek.
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30411        Microsoft Corporation        02.09.2012        1,46MB        9.0.30411 unbek.
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        06.05.2010        596KB        9.0.30729 unbek.
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        06.05.2010        596KB        9.0.30729.4148 unbek.
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        25.08.2012        600KB        9.0.30729.6161 unbek.
Mozilla Firefox 17.0.1 (x86 de)        Mozilla        21.12.2012        41,0MB        17.0.1 wichtig
Mozilla Maintenance Service        Mozilla        21.12.2012        329KB        17.0.1 unbek.
Mozilla Sunbird (0.9)        Mozilla        02.09.2012                0.9 (de) unbek.
Mozilla Thunderbird (3.0.4)        Mozilla        02.09.2012                3.0.4 (de) unbek.
NAVIGON Fresh 3.4.1        NAVIGON        30.11.2012                3.4.1 unbek.
Need for Speed™ Carbon                06.12.2012        unbek.       
Need for Speed™ Most Wanted                06.12.2012        unbek.       
Need for Speed™ Undercover        Electronic Arts        06.12.2012        6,33GB        1.0.1.0 unbek.
NTI Backup Now 5        NewTech Infosystems        06.05.2010        465MB        5.1.2.628 unbek.
NTI Media Maker 8        NewTech Infosystems        06.05.2010        771MB        8.0.12.6630 unbek.
OpenOffice.org 3.4        OpenOffice.org        02.09.2012        346MB        3.4.9590 unbek.
Pegasus Mail        David Harris        08.01.2013        wichtig       
Pegasus Mail HTML Renderer 2.4.7.2        Micha's Midnight Manufacture        08.01.2013        2,28MB bekannt.       
Pegasus Mail v4.63 Release 1, Build 325 (Deutsche Komplettversi        Tech Soft GmbH        08.01.2013        32,8MB bekannt       
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        06.05.2010                6.0.1.6074 unbek.
Realtek USB 2.0 Card Reader        Realtek Semiconductor Corp.        06.05.2010                6.1.7600.30104 unbek.
Synaptics Pointing Device Driver        Synaptics Incorporated        16.08.2012                13.2.2.0 unbek.
Welcome Center        Acer Incorporated        16.08.2012                1.01.3002 unbek.
WildTangent-Spiele        WildTangent        17.10.2012                1.0.4.0 unbek.
Windows Live Anmelde-Assistent        Microsoft Corporation        16.08.2012        1,93MB        5.000.818.5 unbek.
Windows Live Essentials        Microsoft Corporation        16.08.2012                14.0.8089.0726 unbek.
Windows Live Sync        Microsoft Corporation        16.08.2012        2,79MB        14.0.8089.726 unbek.
Windows Live-Uploadtool        Microsoft Corporation        16.08.2012        224KB        14.0.8014.1029 unbek.
Yontoo 1.10.03        Yontoo LLC        09.12.2012        1,16MB        1.10.03 unbek.
kurze Erklärung: Was ich installiert habe, habe ich auch mit wichtig gekennzeichnet, z.B. FFox halte ich für wichtig, besser als IE, bezgl. Addons etc.
Da es nicht mein Rechner ist, habe ich nicht alles darauf installiert, obwohl einige gewollt zu sein scheinen, wie Need for Speed. Andere, wie Acrobat Reader sind sicherlich auch wichtig, Java, Flash. Was dir außer den offensichlich wichtigen Dingen als unsicher, durch sichere oder bessere Alternativen ersetzbar erscheint, ersetze in der Liste, oder streiche diese, ich habe quasi einen Freibrief. :pfeiff:

Dinge, bei denen ich eine Vorstellung habe, wie .NET Framework, Treiber, ... habe ich auch unbek. genannt, da ich die Bewertung die überlassen möchte, zumal sich Schadsoftware ot mit solchen Bezeichnungen tarnt. eMachines Games WildTangent scheine ein mitinstalliertes Spiel zu sein, für meinen Geschmack gehört so was in den Müll.

zu Guter letzt, ich habe in meinem eigenen FF einige Addons, Adblocker, Noscript, Flashblock, HTTPS-Everywhere, Ghostery... . Anscheinend will Filepony etwas von mir, was einem dieser Addons nicht gefällt, ich weiß leider nicht was. Ich lade mir daher diese Sachen von Chip.

Vielleicht war ich jetzt zu blumig, ich hoffe es hilft, bis später

pocoloco

markusg 09.01.2013 15:49
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
eBay
Java
downloade Java jre:
Java-Downloads für alle Betriebssysteme
klicke:
Download der Java-Software für Windows Offline
laden, und instalieren
Mozilla Thunderbird : öffnen, hilfe, update, aktuell ist version 17, er hat version 3

deinstaliere:
NAVIGON : falls ihr kein Navi von denen nutzt.
Need for Speed™ : alle falls nicht genutzt
WildTangent
Windows Live : alle für dich unnötigen.
Öffne CCleaner, analysieren, starten, PC neustarten.

Kp, eig will filepony nichts, ist ne von forum Admin verwaltete Platform
Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Suche.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste
    mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

pocoloco2003 09.01.2013 16:12
Zitat:
Zitat von markusg (Beitrag 986588)
deinstaliere:

haken bei mcafee security scan raus nehmen

???

markusg 09.01.2013 16:13
Auf der Adobe seite sollte das zu finden sein, wenn nicht, deinstalieren und aus der software liste später mcafee deinstalieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:53 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131