Trojaner-Board - Unbekannte eigehende IP's

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unbekannte eigehende IP's (https://www.trojaner-board.de/129612-unbekannte-eigehende-ips.html)

Combofix ist zurzeit nicht verfuegbar.

Poste mir das ganze Log! (http://www.trojaner-board.de/129612-...ml#post1001614)

2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Starting protection
2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Protection started successfully
2013/01/24 12:54:51 +0100 KEVIN-PC Kevin MESSAGE Starting IP protection
2013/01/24 12:54:52 +0100 KEVIN-PC Kevin MESSAGE IP Protection started successfully
2013/01/24 13:07:21 +0100 KEVIN-PC Kevin MESSAGE Executing scheduled update: Daily
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Scheduled update executed successfully: database updated from version v2013.01.23.04 to version v2013.01.24.06
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Starting database refresh
2013/01/24 13:07:40 +0100 KEVIN-PC Kevin MESSAGE Stopping IP protection
2013/01/24 13:07:55 +0100 KEVIN-PC Kevin MESSAGE IP Protection stopped successfully
2013/01/24 13:09:29 +0100 KEVIN-PC Kevin MESSAGE Database refreshed successfully
2013/01/24 13:09:29 +0100 KEVIN-PC Kevin MESSAGE Starting IP protection
2013/01/24 13:09:32 +0100 KEVIN-PC Kevin MESSAGE IP Protection started successfully
2013/01/24 18:48:13 +0100 KEVIN-PC Kevin IP-BLOCK 89.248.168.94 (Type: incoming, Port: 53, Process: svchost.exe)
2013/01/24 22:56:08 +0100 KEVIN-PC Kevin IP-BLOCK 80.82.65.214 (Type: incoming, Port: 53, Process: svchost.exe)

Das ist einer von einem Tag, hab noch massig andere von den Tagen davor und danach.

Scan mit SystemLook

Hiermit prüfe ich, ob für diese Infektion übliche Einträge noch vorhanden sind. Das Tool ändert nichts, wirft mir nur die nötigen Infos aus.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop (falls noch nicht vorhanden).

Download Mirror #1

User mit 64Bit-Windows-Versionen benutzen diese Version => http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista- und Windows 7-User unbedingt mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:filefind svchost.exe
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Code:



SystemLook 30.07.11 by jpshortstuff

Log created at 21:06 on 31/01/2013 by Kevin

Administrator - Elevation successful
 

========== filefind ==========
 

Searching for "svchost.exe"

C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe        --a---- 216424 bytes        [18:11 14/02/2012]        [15:49 14/12/2012] 22101A85B3CA2FE2BE05FE9A61A7A83D

C:\Windows\System32\svchost.exe        --a---- 21504 bytes        [02:23 21/01/2008]        [02:23 21/01/2008] 3794B461C45882E06856F282EEF025AF

C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.0.6001.18000_none_b5bb59a1054dbde5\svchost.exe        --a---- 21504 bytes        [02:23 21/01/2008]        [02:23 21/01/2008] 3794B461C45882E06856F282EEF025AF
 

-= EOF =-

Combofix Logfile:

Code:

ComboFix 13-02-03.03 - Kevin 04.02.2013  14:15:59.1.4 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.3326.1622 [GMT 1:00]

ausgeführt von:: c:\users\Kevin\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {9FF26384-70D4-CE6B-3ECB-E759A6A40116}

SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

SP: Lavasoft Ad-Watch Live! *Disabled/Updated* {24938260-56EE-C1E5-047B-DC2BDD234BAB}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\program files\xp-AntiSpy

c:\program files\xp-AntiSpy\sponsoring\ebay_desktop.ico

c:\program files\xp-AntiSpy\sponsoring\sponsor.url

c:\program files\xp-AntiSpy\Uninstall.exe

c:\program files\xp-AntiSpy\xp-AntiSpy.chm

c:\program files\xp-AntiSpy\xp-AntiSpy.exe

c:\program files\xp-AntiSpy\xp-AntiSpy.url

c:\users\Kevin\AppData\Roaming\Roaming

c:\users\Kevin\AppData\Roaming\Roaming\HoldemManager\config\FTPRushTables.xml

c:\users\Kevin\Documents\~WRL0577.tmp

c:\users\Kevin\Documents\~WRL1380.tmp

c:\users\Kevin\Documents\~WRL2553.tmp

c:\users\Kevin\Documents\~WRL2809.tmp

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\regtlib.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-04 bis 2013-02-04  ))))))))))))))))))))))))))))))

.

.

2013-02-04 13:23 . 2013-02-04 13:23        --------        d-----w-        c:\users\Kevin\AppData\Local\temp

2013-02-04 11:41 . 2013-02-04 11:41        60872        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{9249F0C9-9F39-4767-87F9-D011F71069BB}\offreg.dll

2013-02-01 10:51 . 2013-01-08 04:57        6991832        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{9249F0C9-9F39-4767-87F9-D011F71069BB}\mpengine.dll

2013-01-24 17:59 . 2013-01-24 17:59        --------        d-----w-        c:\users\Kevin\AppData\Roaming\RealNetworks

2013-01-24 17:59 . 2013-01-24 17:59        --------        d-----w-        c:\program files\RealNetworks

2013-01-24 17:59 . 2013-01-24 17:59        --------        d-----w-        c:\programdata\RealNetworks

2013-01-24 17:58 . 2013-01-24 17:58        --------        d-----w-        c:\program files\Common Files\xing shared

2013-01-24 17:58 . 2013-01-24 17:58        153296        ----a-w-        c:\program files\Mozilla Firefox\plugins\nppl3260.dll

2013-01-24 17:58 . 2013-01-24 17:58        124056        ----a-w-        c:\program files\Mozilla Firefox\plugins\nprpplugin.dll

2013-01-22 21:51 . 2013-01-22 21:51        --------        d-----w-        c:\program files\Common Files\Adobe

2013-01-22 21:14 . 2013-01-22 21:14        --------        d-----w-        c:\users\Kevin\AppData\Local\Macromedia

2013-01-22 17:30 . 2013-01-22 17:30        --------        d-----w-        c:\program files\Common Files\Skype

2013-01-17 20:23 . 2013-01-17 20:23        --------        d-----w-        c:\users\Kevin\AppData\Local\Sony Online Entertainment

2013-01-06 17:13 . 2013-01-06 17:13        --------        d-----w-        c:\users\Kevin\AppData\Roaming\Avira

2013-01-06 17:07 . 2012-11-27 09:01        83944        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2013-01-06 17:07 . 2012-11-22 14:51        36552        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2013-01-06 17:07 . 2012-11-22 14:50        134336        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2013-01-06 17:07 . 2013-01-06 17:07        --------        d-----w-        c:\programdata\Avira

2013-01-06 17:07 . 2013-01-06 17:07        --------        d-----w-        c:\program files\Avira

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-24 17:58 . 2009-01-23 17:50        348160        ----a-w-        c:\windows\system32\msvcr71.dll

2013-01-24 17:50 . 2012-05-11 08:29        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-24 17:50 . 2011-08-15 10:29        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-17 00:28 . 2009-10-10 05:37        232336        ------w-        c:\windows\system32\MpSigStub.exe

2012-12-30 22:51 . 2012-12-30 22:51        711240        ----a-w-        c:\windows\is-CIM0O.exe

2012-12-14 15:49 . 2012-02-14 18:11        21104        ----a-w-        c:\windows\system32\drivers\mbam.sys

2013-01-16 20:10 . 2013-01-24 17:15        262552        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

2006-05-03 09:06        163328        --sh--r-        c:\windows\System32\flvDX.dll

2007-02-21 10:47        31232        --sh--r-        c:\windows\System32\msfDX.dll

2008-03-16 12:30        216064        --sh--r-        c:\windows\System32\nbDX.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-20 39408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\program files\VIA\VIAudioi\VDeck\VDeck.exe" [2008-08-26 16986112]

"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2008-09-18 333120]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2009-10-01 718688]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13683232]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 92704]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-12-04 384800]

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2013-01-24 295072]

.

c:\users\Kevin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

InterVideo WinCinema Manager.lnk - d:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-3-3 86016]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

InterVideo WinCinema Manager.lnk - d:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-3-3 86016]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter

.

S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [x]

.

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - FSUSBEXDISK

*Deregistered* - Lavasoft Kernexplorer

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper        REG_MULTI_SZ           getPlusHelper

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-04 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-04-29 07:40]

.

2013-02-04 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-03 14:19]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://de.yahoo.com

uInternet Settings,ProxyOverride = *.local

IE: Free YouTube to Mp3 Converter - c:\users\Kevin\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

LSP: %SystemRoot%\system32\PrxerDrv.dll

Trusted Zone: clonewarsadventures.com

Trusted Zone: everestpoker.com\account

Trusted Zone: freerealms.com

Trusted Zone: soe.com

Trusted Zone: sony.com

DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - ProfilePath - c:\users\Kevin\AppData\Roaming\Mozilla\Firefox\Profiles\1j5n9nvp.default\

FF - prefs.js: browser.search.selectedEngine - YouTube-Videosuche

FF - prefs.js: browser.startup.homepage - hxxp://www.wieistmeineip.de/

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Fraps - g:\fraps\uninstall.exe

AddRemove-xp-AntiSpy - c:\program files\xp-AntiSpy\Uninstall.exe

AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe

AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe

AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe

AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe

AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe

AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe

AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe

AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-04 14:23

Windows 6.0.6002 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  HDAudDeck = c:\program files\VIA\VIAudioi\VDeck\VDeck.exe -r??????????????????????????????????????????????? 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]

"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.3]

"ImagePath"="C:/Program Files/PostgreSQL/8.3/bin/pg_ctl.exe runservice -N \"postgresql-8.3\" -D \"C:/Program Files/PostgreSQL/8.3/data\" -w"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Program Files/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Program Files/PostgreSQL/8.4/data\" -w"

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1707156661-847285289-3195175745-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

@Allowed: (Read) (RestrictedCode)

"??"=hex:7b,18,08,e1,1b,d0,cd,3f,18,8d,03,64,1f,be,32,f7,40,96,7b,9e,76,e2,fa,

   5e,3e,42,e7,35,ff,d6,3b,43,88,12,bd,16,40,f6,e4,6e,95,03,00,25,ed,f1,ae,5c,\

"??"=hex:ab,a3,12,6d,54,e8,bf,36,ce,39,cf,38,6f,a4,ee,03

.

[HKEY_USERS\S-1-5-21-1707156661-847285289-3195175745-1000\Software\SecuROM\License information*]

"datasecu"=hex:29,00,7e,3a,44,7f,82,dc,54,d9,49,df,fa,0d,03,cc,26,ac,5f,ec,d3,

   9a,52,1d,e2,35,94,4c,8d,cd,a5,3b,31,96,1c,e1,ff,1f,e3,2f,d3,7b,9b,12,33,cb,\

"rkeysecu"=hex:6d,38,a0,3b,65,a7,8e,00,a6,72,cb,b7,7e,3b,bd,3b

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

Zeit der Fertigstellung: 2013-02-04  14:28:02

ComboFix-quarantined-files.txt  2013-02-04 13:28

.

Vor Suchlauf: 20 Verzeichnis(se), 45.361.864.704 Bytes frei

Nach Suchlauf: 23 Verzeichnis(se), 45.278.744.576 Bytes frei

.

- - End Of File - - FA98604282D7E740CE20ABDC97D2FAC9

--- --- ---

Kommen immer noch Anfragen?

Ja, kommen immernoch, aber es kommt mir vor das es nicht mehr so oft da ist.
Das ist der Log vom letzten mal:

Code:

2013/02/04 00:25:57 +0100        KEVIN-PC        Kevin        IP-BLOCK        222.186.31.204 (Type: incoming, Port: 33965, Process: svchost.exe)

2013/02/04 00:26:06 +0100        KEVIN-PC        Kevin        IP-BLOCK        222.186.31.204 (Type: incoming, Port: 33965, Process: svchost.exe)

2013/02/04 12:16:47 +0100        KEVIN-PC        Kevin        MESSAGE        Starting protection

2013/02/04 12:16:47 +0100        KEVIN-PC        Kevin        MESSAGE        Protection started successfully

2013/02/04 12:16:47 +0100        KEVIN-PC        Kevin        MESSAGE        Starting IP protection

2013/02/04 12:16:50 +0100        KEVIN-PC        Kevin        MESSAGE        IP Protection started successfully

2013/02/04 12:19:24 +0100        KEVIN-PC        Kevin        MESSAGE        Executing scheduled update:  Daily

2013/02/04 12:19:43 +0100        KEVIN-PC        Kevin        MESSAGE        Starting database refresh

2013/02/04 12:19:43 +0100        KEVIN-PC        Kevin        MESSAGE        Scheduled update executed successfully:  database updated from version v2013.01.28.03 to version v2013.02.04.04

2013/02/04 12:19:43 +0100        KEVIN-PC        Kevin        MESSAGE        Stopping IP protection

2013/02/04 12:19:43 +0100        KEVIN-PC        Kevin        MESSAGE        IP Protection stopped successfully

2013/02/04 12:19:45 +0100        KEVIN-PC        Kevin        MESSAGE        Database refreshed successfully

2013/02/04 12:19:45 +0100        KEVIN-PC        Kevin        MESSAGE        Starting IP protection

2013/02/04 12:19:47 +0100        KEVIN-PC        Kevin        MESSAGE        IP Protection started successfully

2013/02/04 14:09:54 +0100        KEVIN-PC        Kevin        MESSAGE        Stopping protection

2013/02/04 14:09:54 +0100        KEVIN-PC        Kevin        MESSAGE        Protection stopped successfully

2013/02/04 14:09:55 +0100        KEVIN-PC        Kevin        MESSAGE        Stopping IP protection

2013/02/04 14:09:55 +0100        KEVIN-PC        Kevin        MESSAGE        IP Protection stopped successfully

2013/02/04 14:10:27 +0100        KEVIN-PC        Kevin        MESSAGE        Protection stopped

2013/02/04 16:33:35 +0100        KEVIN-PC        Kevin        MESSAGE        Starting protection

2013/02/04 16:33:37 +0100        KEVIN-PC        Kevin        MESSAGE        Protection started successfully

2013/02/04 16:33:37 +0100        KEVIN-PC        Kevin        MESSAGE        Starting IP protection

2013/02/04 16:33:40 +0100        KEVIN-PC        Kevin        MESSAGE        IP Protection started successfully

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

dann:
Alte Version loeschen!
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Sorry, für die sehr späte Antwort, war krank und hatte sehr wenig Zeit... :(

ESET:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=b7f87c11f4757b4ca1cadec75ab4fe11

# engine=13153

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-02-14 04:47:55

# local_time=2013-02-14 05:47:55 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1799 16775165 100 97 19185 226283765 11968 0

# compatibility_mode=5892 16776574 100 100 872188 198393203 0 0

# scanned=430125

# found=0

# cleaned=0

# scan_time=10705

AdwCleaner Logfile:

Code:

# AdwCleaner v2.112 - Datei am 14/02/2013 um 17:53:24 erstellt

# Aktualisiert am 10/02/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

# Benutzer : Kevin - KEVIN-PC

# Bootmodus : Normal

# Ausgeführt unter : C:\Users\Kevin\Desktop\adwcleaner0.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{855F3B16-6D32-4FE6-8A56-BBB695989046}
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v7.0.6002.18005
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Mozilla Firefox v18.0.2 (de)
 

Datei : C:\Users\Kevin\AppData\Roaming\Mozilla\Firefox\Profiles\1j5n9nvp.default\prefs.js
 

[OK] Die Datei ist sauber.
 

-\\ Google Chrome v14.0.835.163
 

Datei : C:\Users\Kevin\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [17365 octets] - [22/01/2013 12:58:44]

AdwCleaner[S2].txt - [1062 octets] - [14/02/2013 17:53:24]
 

########## EOF - C:\AdwCleaner[S2].txt - [1122 octets] ##########

--- --- ---

[/code]

Code:



 Results of screen317's Security Check version 0.99.57  

 Windows Vista Service Pack 2 x86 (UAC is disabled!)  

 Internet Explorer 7 Out of date! 
 ``````````````Antivirus/Firewall Check:``````````````   

Avira Desktop                         

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 MVPS Hosts File  

 VirusTotal Uploader    

 VirusTotal Uploader 2.0   

 Malwarebytes Anti-Malware Version 1.70.0.1100    

 CCleaner (remove only)   

 Java(TM) 6 Update 26  

 Java version out of Date! 

 Adobe Flash Player 10 Flash Player out of Date! 

 Adobe Flash Player         11.5.502.146  

 Adobe Reader 9 Adobe Reader out of Date! 

 Adobe Reader 10.1.4 Adobe Reader out of Date!  

 Mozilla Firefox (18.0.2) 

 Google Chrome 14.0.835.163  
 ````````Process Check: objlist.exe by Laurent````````  

 Malwarebytes Anti-Malware mbamservice.exe  

 Malwarebytes Anti-Malware mbamgui.exe  

 Avira Antivir avgnt.exe 

 Avira Antivir avguard.exe 

 Malwarebytes' Anti-Malware mbamscheduler.exe   
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  % 
 ````````````````````End of Log``````````````````````

Ausserdem hat Avira am 11.02 etwas gefunden:

Code:

In der Datei 'C:\Windows\temp\SBS_LIBNSIS_TEMP_20130111224102.771_        59'

wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

Ausgeführte Aktion: Übergeben an Scanner

Weißt du was das ist? Habe Avira noch öfters scannen lassen, aber hat nichts mehr gefunden...

Alle Windows Updates einspielen, inkl. Internet Explorer!
http://windowsupdate.microsoft.com

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 13 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.