Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rechner langsam nach Viren-Löschung (https://www.trojaner-board.de/92638-rechner-langsam-viren-loeschung.html)

cosinus 10.11.2010 16:53
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.15 03:06:22 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell - "" = Autorun
O33 - MountPoints2\{512c8de6-3421-11df-af57-0013024ad968}\Shell\verb\command - "" = C:\WINDOWS\explorer.exe -- [2008.04.14 03:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation)
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell - "" = AutoRun
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e30f45b9-caef-11dd-af40-0013024ad968}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -- File not found
[2010.11.08 21:40:45 | 000,000,000 | ---D | C] -- C:\Microsoft.Office.2010.Professional.Plus.GERMAN.x86.x64.FRiENDS.ONLY-BIE
[2010.11.08 21:30:35 | 000,000,000 | ---D | C] -- C:\RUSE_The_Art_Of_Deception_XBOX360-SPARE
[2010.10.31 11:17:25 | 000,007,549 | ---- | C] () -- C:\WINDOWS\System32\novav7.ctm
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Flino 12.11.2010 11:17
Hallo cosinus,

hat etwas länger gedauert (sorry) aber ich habe den Fix jetzt durchgeführt. Das Log habe ich angehangen.

Gruß,

Flino

cosinus 12.11.2010 13:55
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Flino 12.11.2010 15:57
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo cosinus,

habe mich durch die Liste gearbeitet mit folgendem Ergbins:

CCleaner hat bei der Registry Reinigung einen Eintrag immer wieder gefunden, auch nach dem 10. Durchlauf (siehe angehänte .jpg file). Ansonsten gab es hier keine Probleme. (Jedoch ist eure Anleitung veraltet. Anstelle der Jahoo! Toolbar möchte er jetzt im nächsten Schritt Google Chrome installieren.)

Für Combofix musste ich Avira deinstallieren, da ich es nicht deaktiviert bekommen habe. Ich habe sogar den Autostart des Programms deaktiviert und neugestartet aber irgendwo im Hintergrund lief es trotzdem weiter. Danach habe ich CF laufen lassen mit folgendem Ergebnis:

Combofix Logfile:
Code:
ComboFix 10-11-11.02 - *** 12.11.2010  15:40:00.1.2 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3070.2595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\fix.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2010-10-12 bis 2010-11-12  ))))))))))))))))))))))))))))))
.

2010-11-12 13:56 . 2010-11-12 13:56        --------        d-----w-        c:\programme\CCleaner
2010-11-12 10:05 . 2010-11-12 10:05        --------        d-----w-        C:\_OTL
2010-11-08 14:58 . 2010-09-18 06:52        953856        ------w-        c:\windows\system32\dllcache\mfc40u.dll
2010-11-08 14:58 . 2010-09-18 06:52        974848        ------w-        c:\windows\system32\dllcache\mfc42.dll
2010-11-08 14:57 . 2010-08-23 16:11        617472        ------w-        c:\windows\system32\dllcache\comctl32.dll
2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-11-08 14:30 . 2010-04-29 14:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-11-08 14:30 . 2010-11-08 14:30        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-08 14:30 . 2010-04-29 14:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Vuze_Remote
2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\programme\ConduitEngine
2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\programme\Vuze_Remote
2010-11-07 11:32 . 2010-11-07 11:32        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
2010-11-06 10:08 . 2010-11-06 10:08        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:08 . 2010-11-06 10:08        --------        d-sh--w-        c:\dokumente und einstellungen\Administrator\IETldCache
2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-11-06 10:00 . 2010-11-06 10:00        --------        d-----w-        c:\programme\SUPERAntiSpyware
2010-11-06 09:53 . 2010-11-06 09:53        --------        d---a-w-        C:\Navilog1
2010-11-06 09:53 . 2010-11-06 09:53        --------        d-----w-        c:\programme\Navilog1
2010-11-06 09:51 . 2010-11-06 09:51        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Startmenü
2010-10-31 11:35 . 2010-10-31 11:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-10-31 10:43 . 2010-10-31 10:43        --------        d-----w-        c:\programme\PDF Annotator
2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Softland
2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2010-10-31 10:17 . 2010-02-05 14:00        1700352        ----a-w-        c:\windows\system32\GdiPlus.dll
2010-10-31 10:17 . 2010-10-31 10:17        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PDF Annotator
2010-10-23 09:40 . 2010-10-23 09:40        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\whyteboard
2010-10-23 09:36 . 2010-10-23 09:36        --------        d-----w-        c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mendeley Ltd
2010-10-13 21:05 . 2010-10-13 21:05        --------        d-----w-        c:\windows\system32\NtmsData

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2004-08-04 04:00        974848        ----a-w-        c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-04 04:00        974848        ----a-w-        c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-04 04:00        954368        ----a-w-        c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-04 04:00        953856        ----a-w-        c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-04 04:00        916480        ----a-w-        c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-04 04:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-04 04:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-08-04 04:00        285824        ----a-w-        c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-04 04:00        1852928        ----a-w-        c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-04 04:00        119808        ----a-w-        c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-04 04:00        99840        ----a-w-        c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25        5632        ----a-w-        c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-04 04:00        357248        ----a-w-        c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-04 04:00        617472        ----a-w-        c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-08-04 04:00        58880        ----a-w-        c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-08-04 04:00        590848        ----a-w-        c:\windows\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 11:26        3908192        ----a-w-        c:\programme\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
2010-10-18 11:26        3908192        ----a-w-        c:\programme\Vuze_Remote\tbVuze.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ba14329e-9550-4989-b3f2-9732e92d17cc}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{BA14329E-9550-4989-B3F2-9732E92D17CC}"= "c:\programme\Vuze_Remote\tbVuze.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{ba14329e-9550-4989-b3f2-9732e92d17cc}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-14 7331840]
"nwiz"="nwiz.exe" [2005-12-14 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2005-12-13 344064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microtek Scanner Finder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microtek Scanner Finder.lnk
backup=c:\windows\pss\Microtek Scanner Finder.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer ePower Management]
2005-11-18 15:06        3079680 begin_of_the_skype_highlighting**************06 3079680******end_of_the_skype_highlighting        ----a-w-        c:\acer\Empowering Technology\ePower\Acer ePower Management.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe]
2005-10-24 15:45        2462208        ----a-w-        c:\acer\Empowering Technology\admtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 22:07        932288        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47        35760        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-04-24 03:16        203928        ----a-w-        d:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
2005-12-21 14:02        53248        ------w-        c:\programme\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 02:23        110592        ----a-w-        c:\windows\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-03-23 18:00        1983816        ----a-w-        c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-07-24 15:02        490952        ----a-w-        d:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-06-03 01:50        1144104        ----a-w-        c:\programme\DivX\DivX Update\DivXUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eDataSecurity Loader]
2005-10-19 08:30        69632        ----a-w-        c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePower_DMC]
2005-12-13 16:08        344064        ----a-w-        c:\acer\Empowering Technology\ePower\ePower_DMC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
2005-11-16 16:00        397312        ----a-w-        c:\acer\Empowering Technology\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2006-10-26 22:47        31016        ----a-w-        d:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-04-25 08:25        133368        ----a-w-        c:\programme\ICQ7.1\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
2009-05-19 17:39        136544        ----a-w-        c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
2006-01-09 17:23        589824        ----a-w-        c:\progra~1\LAUNCH~1\LManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-12-13 20:31        151552        ------w-        c:\programme\Acer\Acer Arcade\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2005-02-15 02:39        98304        ----a-w-        c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2005-12-19 13:52        15797248        ----a-w-        c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23        149280        ----a-w-        d:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-07-20 14:05        729177        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32        74752        ----a-w-        d:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\eMule\\emule.exe"=
"d:\\Games\\SNES\\zsnesw_2.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\ICQ7.1\\aolload.exe"=
"d:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16594:TCP"= 16594:TCP:Vuze

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.11.2008 12:05 721904]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [04.08.2004 05:00 14336]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 21:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 21:46 27072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper        REG_MULTI_SZ          getPlusHelper
nosGetPlusHelper        REG_MULTI_SZ          nosGetPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.internetcologne.de
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\j4v4ysoh.default\
FF - prefs.js: browser.search.selectedEngine - Google.de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: d:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-AVG Anti-Spyware Driver
SafeBoot-AVG Anti-Spyware Guard
MSConfigStartUp-!AVG Anti-Spyware - d:\programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-DAEMON Tools - d:\programme\DAEMON Tools\daemon.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-12 15:44
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(2088)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\acer\Empowering Technology\admServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
d:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-12  15:46:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-11-12 14:46

Vor Suchlauf: 20 Verzeichnis(se), 26.250.641.408 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 26.119.897.088 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - BF3DA20DACD35472D9F91AC3EC28B437
--- --- ---

Gruß,

Flino

cosinus 12.11.2010 16:09
Ja, die Anleitungen könnte man mal wieder überarbeiten. Leider ist da nicht immer Zeit für da, und es ist auch sehr schwierig jede Änderung mitzubekommen, die sich auf die Anleitung auswirkt, also im Zweifel einfach einmal mehr als nachfragen.

Zitat:
Windows 5.1.2600 Service Pack 3 FAT NTAPI
FAT32 als Dateisystem auf der Systempartition von WindowsXP ist keine gute Idee. Kann man zum Glück ohne Datenverlust d.h. ohne zu formatieren ändern, die wichtigsten Daten sollte man vor dem convert aber immer gesichert haben. Machen wir später.

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Flino 12.11.2010 17:16
Hallo cosinus,

ich muss einen zwischen Schritt einlegen. Kannst du mir vielleicht auch bei Avira helfen? Ich bekomme das Programm nicht beendet. Ich kann es zwar deaktivieren (reicht das schon um gmer und osam laufen zu lassen?) aber nicht komplett beenden. Wenn ich den Prozess direkt im Taskmanager killen will wird mir der Zugriff verweigert, genau wie wenn ich versuche die Dienste in der Verwaltung von XP zu deaktivieren. Ich bin definitiv Systemadmin und ich will nicht jedes mal wenn ich eine Log erstellen muss das ganze Programm löschen und neu installieren -.-

Gruß,

Flino

cosinus 12.11.2010 17:18
Regenschirm schließen reicht.

Flino 12.11.2010 17:47
So... habe alle drei Logs erstellt und angehangen.

Gruß,

Flino

cosinus 12.11.2010 18:41
Wir müssen wohl den MBR reparieren.
Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)
Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.

Flino 12.11.2010 19:11
Done. Hier das neue Log.

Gruß,

Flino

cosinus 14.11.2010 07:53
Code:
      Size  Device Name          MBR Status
  --------------------------------------------
    111 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Flino 14.11.2010 13:55
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo cosinus,

habe die Vollscans durchgeführt. Malwarebytes konnte nichts finden und SASW fand Tracking Cookies. Nach den Scans habe ich den Rechner neugestartet und da hat mir Avira direkt eine Warnung gegeben (siehe jpg).

Gruß,

Flino

cosinus 14.11.2010 19:00
Sieht an für sich ok aus. Was hat AntiVir da genau gefunden? Der Screenshot ist nutzlos weil der Pfad zur uninstall.exe nicht angezeigt wird.

Flino 15.11.2010 07:53
Liste der Anhänge anzeigen (Anzahl: 1)
Oh, sorry. Hier sind ein paar mehr Details.

Gruß,

Flino

cosinus 15.11.2010 08:42
Ist ein Fehlalarm, die uninstall.exe ist vom legitimen Programm Notepad++


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:41 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131