Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   System neu aufsetzen nach Trojanerbefall (https://www.trojaner-board.de/138169-system-neu-aufsetzen-trojanerbefall.html)

MarcoPoloL 13.07.2013 20:16
System neu aufsetzen nach Trojanerbefall
 
Hallo,

ich möchte meinen PC nach Trojanerbefall neu aufsetzen. Ich habe eine Partition C mit BS (WIN 7 64bit) und Programmen und eine Datenpartition E (diese enthält auch archivierte Progarmme). Trojaner wurden von Avast auf C in verschiedenen .exe-Dateien (Win32:Kryptik-Mij), Trojaner Win32:Expiro-CE auf E als .tmp-dateien getarnt und auf einer angeschlossenen Festplatte (enthält die Datensicherung in Truecrypt-Containern) gefunden.

Antimalwarebytes und Avira haben nichts mehr gefunden, werde aber C auf alle Fälle formatieren und das BS neu aufspielen. Deshalb folgende Fragen:

Kann ich die Datenpartition so lassen, oder machte es Sinn auch diese zu formatieren und die Daten neu aufzuspielen? Das wäre ziemlich aufwändig.

Ich wußte gar nicht, dass.tmp ausführbare Dateien sind - oder war das eine getarnte tmp.exe? Wenn ich alle Dateien anzeigen lasse und dann die ausführbaren auf der Datenpartition lösche, wäre das sicher?

Ich habe eine recovery-Partition. Kann ich diese nutzen oder ist es sicherer, das BS von DVD neu aufzuspielen und den mbr zu löschen?

Sin die Datensicherungen auf der USB-Festplatte noch vertrauenswürdig? Letzte Sicherung 1 Woche vor Virenbefall, Truecrypt-Container waren zum Zeitpunkt des Befalls nicht gemountet.

Wie stelle ich sicher, dass sich auf der USB-Festplatte nichts mehr versteckt? Mit Linux-Live-System die Datensicherung runterkopieren und dann neu formatieren?

Habe mir nach vielen Jahren surfen erstmals Trojaner eingefangen, obwohl Avira aktuell und aktiv war. Möchte daher, auch wegen der Toolbar-Installation einen anderen Virenschutz holen. Empfehlung? (darf auch was kosten)

Danke fürs antworten,

Marco

ryder 13.07.2013 20:24
Hi

wenns was kosten darf, kann ich dir Emsisoft oder ESET ans Herz legen.

Was deine Prüfung angeht ...


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.
Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

MarcoPoloL 14.07.2013 13:07
Ich habe ESET durchlaufen lassen. Die externe Festplatte habe ich erst nach dem Wochenende wieder verfügbar, sie wurde also nicht mitgetestet. ESET hat zwei Funde gemeldet.

Marco

Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=be6b3e0555320a4a967930eb9bfe7ecf
# engine=14385
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-07-14 11:39:26
# local_time=2013-07-14 01:39:26 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=771 16777214 16 1 404146 404146 0 0
# compatibility_mode=1799 16775165 100 94 312509 418135 305294 0
# compatibility_mode=5893 16776574 100 94 420767 125431816 0 0
# scanned=308637
# found=2
# cleaned=0
# scan_time=12089
sh=B9A6490E1954C3EE40B25C48904037CA8D05B61A ft=0 fh=0000000000000000 vn="JS/Agent.NJF trojan" ac=I fn="C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\chrome\content.jar"
sh=B5EFFDEE57FE1FC00818CB59E2D896D220EE6425 ft=0 fh=0000000000000000 vn="JS/Redirector.NBI trojan" ac=I fn="C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}\components\red.js"

ryder 14.07.2013 13:08
Yo nur irgendwelche Chromeextrensions nix weiter spannendes.

Browserreset mit ZOEK

Achtung! Sichere vorher deine Bookmarks und persönlichen Einstellungen!

Bitte lade dir zoek.exe von hier: http://hijackthis.nl/smeenk/
  • Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen
  • Starte Zoek.exe mit einem Doppelklick.
  • Klicke auch auf "Options" und wähle die folgenden Optionen aus:
    • Firefox Defaults
    • Reset Chrome
    • Shortcut Fix
    • IE Defaults
    • Reset Hosts
    • Auto Clean
  • Nun klicke auf "Run script" und sei geduldig bis das Skript durchläuft.
  • Wenn das Tool fertig ist wird sich Notepad mit dem Logfile öffnen (ggf. erst nach einem Neustart). Das Log befindet sich aber auch noch unter c:
  • Bitte poste mir das ZOEK-Log (möglichst in CODE-Tags - #-Symbol im Antwortfenster klicken)

MarcoPoloL 14.07.2013 16:55
Hallo ryder,

Browserreset mit ZOEK ist erledigt. Dies ist das LOG-File:

Code:
Zoek.exe Version 4.0.0.4 Updated 10-July-2013
Tool run by XXX on 14.07.2013 at 16:38:26,25.
Microsoft Windows 7 Professional  6.1.7601 Service Pack 1 x64
Running in: Normal Mode No Internet Access Detected

==== System Restore Info ======================

Failed to create System Restore Point

==== Reset Hosts File ======================

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97    rhino.acme.com          # source server
#      38.25.63.10    x.acme.com              # x client host
 
# localhost name resolution is handle within DNS itself.
127.0.0.1      localhost
::1            localhost

==== Creating Sample__1641.zip ======================
 
Process rundll32.exe killed
Copied file C:\Users\XXX\AppData\Roaming\Network_Driver_YYDDV_WN_15.03.1000.1637_A03.EXE to sample\Network_Driver_YYDDV_WN_15.03.1000.1637_A03.EXE
sample\Network_Driver_YYDDV_WN_15.03.1000.1637_A03.EXE renamed to C299E0752672556018BDCA62CCF1F4C6

C:\Users\Public\Desktop\sample__1641.zip created successfully

==== Deleting CLSID Registry Keys ======================


==== Deleting CLSID Registry Values ======================


==== Deleting Services ======================


==== FireFox Fix ======================

Deleted from C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\prefs.js:
user_pref("browser.startup.homepage", "chrome://foxtab/content/homepage.html");
user_pref("browser.search.useDBForOrder", true);

Added to C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\prefs.js:
user_pref("browser.startup.homepage", "hxxp://www.google.com");
user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?btnG=Google+Search&q=");
user_pref("browser.newtab.url", "hxxp://www.google.com/");
user_pref("browser.search.defaultengine", "Google");
user_pref("browser.search.defaultenginename", "Google");
user_pref("browser.search.selectedEngine", "Google");
user_pref("browser.search.order.1", "Google");
user_pref("keyword.URL", "hxxp://www.google.com/search?btnG=Google+Search&q=");
user_pref("browser.search.suggest.enabled", true);
user_pref("browser.search.useDBForOrder", true);

ProfilePath: C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default

user.js not found
---- Lines delta removed from prefs.js ----

user_pref("extensions.sitedelta@schierla.de.highlightOnLoad", true);
user_pref("extensions.sitedelta@schierla.de.install-event-fired", true);
user_pref("extensions.sitedelta@schierla.de.notifySound", "_moz_mailbeep");
user_pref("extensions.sitedelta@schierla.de.watchScanDelay", -1);

---- Lines delta modified from prefs.js ----


---- FireFox user.js and prefs.js backups ----

prefs__1641_.backup

==== Deleting Files \ Folders ======================

"C:\Users\XXX\AppData\Roaming\FRITZ" not found
"C:\ProgramData\60a7806a-0eea-424c-a464-20f4730cd631" deleted
"C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\sitedelta.rdf" deleted
"C:\Users\XXX\AppData\Local\dfl28z32.dll" deleted
"C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\searchplugins\imedisearch.xml" deleted
"C:\Users\XXX\AppData\Roaming\Network_Driver_YYDDV_WN_15.03.1000.1637_A03.EXE" deleted
"C:\Users\XXX\AppData\Roaming\Tobit" deleted
"C:\ProgramData\APN" deleted
"C:\Windows\SysWow64\AI_RecycleBin" deleted
"C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\jetpack" deleted
"C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\sitedelta" deleted

==== Firefox Extensions ======================

ProfilePath: C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default
- FRITZBox AddOn - %ProfilePath%\extensions\fb_add_on@avm.de
- DownloadHelper - %ProfilePath%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
- . - %ProfilePath%\extensions\{ec9032c7-c20a-464f-7b0e-13a3a9e97385}
- HON Toolbar - %ProfilePath%\extensions\hontoolbar@hon.ch.xpi
- DuckDuckGo Plus - %ProfilePath%\extensions\jid1-ZAdIEUB7XOzOJw@jetpack.xpi
- Image Zoom - %ProfilePath%\extensions\{1A2D0EC4-75F5-4c91-89C4-3656F6E44B68}.xpi
- Update Scanner - %ProfilePath%\extensions\{c07d1a49-9894-49ff-a594-38960ede8fb9}.xpi
- Adblock Plus - %ProfilePath%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi

AppDir: C:\Program Files (x86)\Mozilla Firefox
- Java Console - %AppDir%\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

==== Firefox Plugins ======================

Profilepath: C:\Users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default
3D76B5C0E02ECC19C1F5756E8FD97F72        - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll -        Shockwave Flash
5CFAE4C01C044DCC77771E46E2B3544A        - C:\Program Files\Tracker Software\PDF Viewer\Win32\npPDFXCviewNPPlugin.dll -        PDF-XChange Viewer
6CD3A99DCEDE9C2D7D3BFBF6D4902F5F        - C:\Windows\SysWOW64\npdeployJava1.dll -        Java Deployment Toolkit 6.0.350.10
15E298B5EC5B89C5994A59863969D9FF        - C:\Windows\SysWOW64\npmproxy.dll -        Microsoft® Windows® Operating System


==== Set IE to Default ======================

Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://www.google.de/"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{096D4820-6B8C-4F55-9232-E44DFB57509C}"

New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="hxxp://www.google.de/"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"

==== All HKCU SearchScopes ======================

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing  Url="hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
{096D4820-6B8C-4F55-9232-E44DFB57509C} Unknown  Url="Not_Found"
{6A1806CD-94D4-4689-BA73-E35EA1EA9990} Google  Url="hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}"
{8A063911-67C5-4115-A8F1-BFA39772118F} Google  Url="hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:{language}:{referrer:source}&ie={inputEncoding?}&oe={outputEncoding?}"
{9C937954-F68E-4A78-8DAD-A27EB41C421E} Unknown  Url="Not_Found"

==== Reset Google Chrome ======================

Nothing found to reset

==== Deleting CLSID Registry Keys ======================

HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8E5E2654-AD2D-48BF-AC2D-D17F00898D06} deleted successfully
HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8E5E2654-AD2D-48BF-AC2D-D17F00898D06} deleted successfully
HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Internet Explorer\SearchScopes\{096D4820-6B8C-4F55-9232-E44DFB57509C} deleted successfully
HKEY_USERS\S-1-5-21-3932702968-264759943-478244544-1000\Software\Microsoft\Internet Explorer\SearchScopes\{9C937954-F68E-4A78-8DAD-A27EB41C421E} deleted successfully
HKEY_CLASSES_ROOT\CLSID\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CA1377B-DC1D-4A52-9585-6E06050FAC53} deleted successfully
HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{8E5E2654-AD2D-48BF-AC2D-D17F00898D06} deleted successfully

==== Deleting CLSID Registry Values ======================


==== shortcuts in Users Start Menu ======================

C:\Users\XXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Bildschirmausschnitt- und Startprogramm.lnk - C:\Program Files (x86)\Microsoft Office\Office14\ONENOTEM.EXE /tsr

==== shortcuts in All Users Start Menu ======================

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk - C:\Users\XXX\AppData\Local\Mozilla Firefox\firefox.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira Desktop\Avira Free Antivirus Hilfe.lnk - C:\Program Files (x86)\Avira\AntiVir Desktop\avwin.chm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira Desktop\Avira Free Antivirus starten.lnk - C:\Program Files (x86)\Avira\AntiVir Desktop\avcenter.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira Desktop\Avira im Internet.lnk - C:\Program Files (x86)\Avira\AntiVir Desktop\weblink.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira\Avira Desktop\Readme anzeigen.lnk - C:\Program Files (x86)\Avira\AntiVir Desktop\readme.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware\Malwarebytes Anti-Malware entfernen.lnk - C:\Program Files (x86)\Malwarebytes' Anti-Malware\unins000.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware\Malwarebytes Anti-Malware Help.lnk - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.chm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware\Malwarebytes Anti-Malware.lnk - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk - C:\Program Files (x86)\Malwarebytes' Anti-Malware\Chameleon\chameleon.chm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight\Microsoft Silverlight.lnk - C:\Program Files (x86)\Microsoft Silverlight\5.1.20513.0\Silverlight.Configuration.exe

==== shortcuts in Quick Launch ======================

C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - 
C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - 
C:\Users\Default User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - 
C:\Users\Default User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - 
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk - C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE /recycle
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk - C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - 
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - 
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk - C:\Program Files\Wireshark\wireshark.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Microsoft Word 2010.lnk - C:\Windows\Installer\{90140000-003D-0000-0000-0000000FF1CE}\wordicon.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\MindManager X5.lnk - C:\Windows\Installer\{23355AD7-F773-4419-971D-1577A793D4B5}\ARPPRODUCTICON.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pegasus Mail.DE.lnk - C:\PMAIL\Programs\winpm-32.exe -X DE -A
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Radiotracker.lnk - C:\Program Files (x86)\RapidSolution\Radiotracker\Radiotracker.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Photoshop Lightroom 4.4 64-bit.lnk - C:\Program Files (x86)\Adobe\Adobe Photoshop Lightroom 4.4\lightroom.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Audials 10.lnk - C:\Program Files (x86)\Audials\Audials 10\AudialsStarter.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Create Synchronicity.lnk - C:\Program Files (x86)\Create Software\Create Synchronicity\Create Synchronicity.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\IDLE (Python GUI).lnk - C:\Windows\Installer\{31800004-6386-4999-A519-518F2D78D8F0}\python_icon.exe "C:\Python25\Lib\idlelib\idle.pyw"
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft OneNote 2010.lnk - C:\Windows\Installer\{90140000-003D-0000-0000-0000000FF1CE}\joticon.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MindManager X5.lnk - C:\Windows\Installer\{23355AD7-F773-4419-971D-1577A793D4B5}\ARPPRODUCTICON.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk - C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Pegasus Mail.DE.lnk - C:\PMAIL\Programs\winpm-32.exe -X DE -A
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TeXstudio.lnk - C:\Program Files (x86)\TeXstudio\texstudio.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TrueCrypt.lnk - C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer.lnk - C:\Windows\explorer.exe
C:\Users\XXX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Media Player.lnk - C:\Program Files (x86)\Windows Media Player\wmplayer.exe /prefetch:1

==== Empty IE Cache ======================

C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\Default\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\XXX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\XXX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5 emptied successfully
C:\Users\XXX\AppData\Local\Temp\acro_rd_dir\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\XXX\AppData\Local\Temp\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\sysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\serviceprofiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Windows\serviceprofiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully

==== Empty FireFox Cache ======================

C:\users\XXX\AppData\Local\Mozilla\Firefox\Profiles\ahlmj72i.default\Cache emptied successfully
C:\users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\ahlmj72i.default\alertbox\sites\b75daedbebe7815c430ced09ace6e52a4029e47d\cache emptied successfully

==== Empty Chrome Cache ======================

No Chrome User Data found

==== Empty All Flash Cache ======================

Flash Cache Emptied Successfully

==== Empty All Java Cache ======================

Java Cache cleared successfully

==== After Reboot ======================

==== Empty Temp Folders ======================

C:\Windows\Temp successfully emptied
C:\Users\XXX\AppData\Local\Temp successfully emptied

==== Empty Recycle Bin ======================

C:\$RECYCLE.BIN successfully emptied

==== EOF on 14.07.2013 at 17:07:45,04 ======================

ryder 14.07.2013 18:10
Prima.

Gibts jetzt noch Probleme?

MarcoPoloL 14.07.2013 18:41
Hallo ryder,

Probleme macht der Rechner derzeit nicht (ich surfe jetzt aber auch mit einem alten Rechner). Ich würde sicherheitshalber trotzdem die Systempartition neu aufsetzen. Reicht die Recovery-Partition oder lieber von BS-DVD komplett neu aufbauen? Kann ich die Datenpartition gefahrlos weiterverwenden? Nächste Woche habe ich die infizierte USB-Festplatte wieder zur Vefügung. Soll ich die auch noch mal mit ESET testen? Oder kann sich beim anschließen wieder ein Trojaner auf dem Rechner einnisten?

Schon mal vielen Dank für die schnelle Hilfe!

Gruß,

Marco

ryder 14.07.2013 18:44
Ja, mit ESET testen. Daten sind normalerweise nicht befallen.

ryder 16.07.2013 10:24
Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: Lob, Kritik und Wünsche - Trojaner-Board


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131