Trojaner-Board - Hilfe! Malware JS/Fakealert.72367

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe! Malware JS/Fakealert.72367 (https://www.trojaner-board.de/93509-hilfe-malware-js-fakealert-72367-a.html)

Hilfe! Malware JS/Fakealert.72367

Hallo,

vorgestern bin ich beim Suchen eines speziellen Musikinstruments (8 saitige Ukulele) im Internet auf eine Seite gestoßen, bei der ich vom AV Guard gleich eine Meldung mit Malware JS/Fakealert.72367 bekam. Parallel dazu ging eine Seite auf, die exakt wie der Explorer aufgebaut war und mir auf englisch mitteilte, daß mein Rechner infiziert ist. Da ich dachte, daß die Meldung von meinem Rechner stammt, hab ich dem Scan zugestimmt.
Daraufhin bekam ich mitgeteilt, daß sich 13 Viren in verschiedenen Dateien auf meinem Rechner befinden und sollte eine exe Datei runterladen. Erst da wurde ich stutzig und hielt erstmal inne und habe die Datei nicht heruntergeladen.

Daraufhing habe ich den PC mit AntiVir (13 Befunde) und Malwarebytes (1 Befund) gescannt. Ich benutze Windows Vista 34 bit und Mozilla Firefox.

Ich dachte immer ich wäre vorsichtig, aber nun bin ich so richtig in die Falle geraten. :headbang:

Ist mein Rechner infiziert und falls ja, was kann ich tun?

Es wäre wirklich toll, wenn ihr mir helfen könntet.

Danke im Voraus & viele Grüsse

powerpop64

Hallo,

Zitat:

Ich benutze Windows Vista 34 bit

Es gibt 32- und 64-Bit, aber kein 34-Bit :D
Lt. den Logs hast du ein 32-Bit-Vista.

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo,

Zitat:

Ich benutze Windows Vista 34 bit

Es gibt 32- und 64-Bit, aber kein 34-Bit :D
Lt. den Logs hast du ein 32-Bit-Vista.

Zitat:

Art des Suchlaufs: Quick-Scan

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo Cosinus,

erstmal danke, daß Du dich meines Problems annimmst.

Ja, Du hast Recht es ist natürlich 32-Bit.
Bei den ganzen Bits und Bytes kann man schon mal durcheinander kommen. ;-)

Wie gewünscht habe ich nochmal die Logfiles angehängt. Neben denen vom letzten Post gibt es keine weiteren.

Grüsse

powerpop64

Zitat:

-> No action taken.

hast du die Funde nicht entfernt?

Hallo Arne,

doch, aber erst nachdem ich die Logfiles gepostet habe.

Grüsse

Jan

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hi Arne,

hier ist der Log:

Combofix Logfile:

Code:

ComboFix 10-12-04.06 - Pizza 06.12.2010  13:25:23.2.2 - x86

Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.1917.1087 [GMT 1:00]

ausgeführt von:: c:\users\Pizza\Desktop\ComboFix.exe

SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\users\Pizza\AppData\Local\Microsoft\Windows\Temporary Internet Files\mxfilerelatedcache.mxc2

c:\users\Pizza\AppData\Roaming\Desktopicon

c:\users\Pizza\AppData\Roaming\Desktopicon\config.ini

c:\users\Pizza\AppData\Roaming\Microsoft\Windows\Recent\mxfilerelatedcache.mxc2

c:\users\Pizza\FAVORI~1\mxfilerelatedcache.mxc2

c:\users\Pizza\Favorites\mxfilerelatedcache.mxc2

c:\windows\system32\Data

E:\uninstall.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-06 bis 2010-12-06  ))))))))))))))))))))))))))))))

.
 

2010-12-06 12:39 . 2010-12-06 12:40        --------        d-----w-        c:\users\Pizza\AppData\Local\temp

2010-12-06 12:39 . 2010-12-06 12:39        --------        d-----w-        c:\users\Pasta\AppData\Local\temp

2010-12-06 12:39 . 2010-12-06 12:39        --------        d-----w-        c:\users\jokie\AppData\Local\temp

2010-12-06 12:39 . 2010-12-06 12:39        --------        d-----w-        c:\users\Default\AppData\Local\temp

2010-12-06 12:39 . 2010-12-06 12:39        --------        d-----w-        c:\users\Administrator\AppData\Local\temp

2010-12-03 15:38 . 2010-12-03 15:38        --------        d-----w-        c:\users\Pizza\AppData\Roaming\Uniblue

2010-12-03 11:01 . 2010-12-03 11:01        --------        d-----w-        c:\users\Pizza\AppData\Roaming\Avira

2010-11-22 08:09 . 2010-11-22 08:09        --------        d-----w-        c:\program files\iPod

2010-11-10 07:37 . 2010-10-07 11:37        2409784        ----a-w-        c:\program files\Windows Mail\OESpamFilter.dat
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-29 16:42 . 2009-03-25 14:15        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-29 16:42 . 2009-03-25 14:15        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-11-28 13:41 . 2009-10-30 09:36        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2010-11-07 13:01 . 2009-10-30 09:36        126856        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2010-10-19 09:41 . 2009-10-03 15:00        222080        ------w-        c:\windows\system32\MpSigStub.exe

2010-10-07 23:21 . 2010-10-29 10:23        6146896        ----a-w-        c:\programdata\Microsoft\Windows Defender\Definition Updates\{125C262A-ADA2-41D2-8CC8-3919B609F171}\mpengine.dll

2010-09-15 02:50 . 2010-06-23 08:28        472808        ----a-w-        c:\windows\system32\deployJava1.dll

2010-09-13 13:56 . 2010-10-14 16:20        8147456        ----a-w-        c:\windows\system32\wmploc.DLL

2010-09-08 17:23 . 2010-10-14 16:19        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-09-08 17:07 . 2010-10-14 16:19        834048        ----a-w-        c:\windows\system32\wininet.dll

2010-09-08 15:23 . 2010-10-14 16:19        389632        ----a-w-        c:\windows\system32\html.iec

2010-09-08 09:17 . 2010-09-08 09:17        94208        ----a-w-        c:\windows\system32\QuickTimeVR.qtx

2010-09-08 09:17 . 2010-09-08 09:17        69632        ----a-w-        c:\windows\system32\QuickTime.qts

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe" [2007-06-27 436088]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"E-MU USB Audio Control Panel"="c:\program files\Creative Professional\E-MU USB Audio\EmuUsbAudioCP.exe" [2007-11-26 274432]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]

"TomTomHOME.exe"="e:\tomtom home 2\TomTomHOMERunner.exe" [2009-11-13 247144]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-15 102400]

"RtHDVCpl"="RtHDVCpl.exe" [2007-08-09 4702208]

"NDSTray.exe"="NDSTray.exe" [BU]

"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]

"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-05-04 571024]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]

"OpwareSE2"="e:\canon 4200f\OpwareSE2.exe" [2003-05-08 49152]

"OPSE reminder"="e:\canon 4200f\EregGer\Ereg.exe" [2003-07-07 729088]

"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-11 41984]

"Skytel"="Skytel.exe" [2007-08-03 1826816]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]

"lxebmon.exe"="c:\program files\Lexmark Pro200-S500 Series\lxebmon.exe" [2009-08-10 766632]

"EzPrint"="c:\program files\Lexmark Pro200-S500 Series\ezprint.exe" [2009-08-10 139944]

"Lexmark Pro200-S500 Series Fax Server"="c:\program files\Lexmark Pro200-S500 Series\fm3032.exe" [2009-08-10 316072]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-11-17 421160]

"Malwarebytes' Anti-Malware (reboot)"="e:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
 

c:\users\Pizza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-16 110592]

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-16 110592]

Microsoft Office.lnk - e:\office\OSA9.EXE [1999-2-17 65588]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001
 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 lxebCATSCustConnectService;lxebCATSCustConnectService;c:\windows\system32\spool\DRIVERS\W32X86\3\\lxebserv.exe [2009-07-29 98984]

R3 emusba10;E-MU USB-Audio 1.0 Driver;c:\windows\system32\DRIVERS\emusba10.sys [2007-11-26 163352]

R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-11-07 13352]

R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]

R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]

R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]

R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]

R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]

R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]

R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

S2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [2008-01-07 366712]

S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-07 135336]

S2 emaudsv;E-MU Audio Service;c:\windows\system32\emaudsv.exe [2007-11-26 20992]

S2 lxeb_device;lxeb_device;c:\windows\system32\lxebcoms.exe [2009-07-29 602792]

S2 TomTomHOMEService;TomTomHOMEService;e:\tomtom home 2\TomTomHOMEService.exe [2009-11-13 92008]

S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187B.sys [2007-06-01 252416]
 
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WindowsMobile        REG_MULTI_SZ           wcescomm rapimgr

LocalServiceRestricted        REG_MULTI_SZ           WcesComm RapiMgr

LocalServiceAndNoImpersonation        REG_MULTI_SZ           FontCache

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.hulapunk.com/

uInternet Settings,ProxyOverride = *.local

IE: Öffnen mit WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta

IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - hxxp://rover.ebay.com/rover/1/707-44556-9400-3/4

IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - hxxp://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home

TCP: {0C0F8CAD-7807-4B5E-A4E1-31A05C7F501F} = 193.101.111.10,193.101.111.20

FF - ProfilePath - c:\users\Pizza\AppData\Roaming\Mozilla\Firefox\Profiles\2rax96bk.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.sheep-entertainment.nl/ukulele/index.html

FF - component: c:\users\Pizza\AppData\Roaming\Mozilla\Firefox\Profiles\2rax96bk.default\extensions\fb_add_on@avm.de\components\FB_AddOn.dll

FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: e:\divx\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: e:\divx\DivX Web Player\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Extension: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\users\Pizza\AppData\Roaming\Mozilla\Firefox\Profiles\2rax96bk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Extension: FRITZ!Box AddOn: fb_add_on@avm.de - c:\users\Pizza\AppData\Roaming\Mozilla\Firefox\Profiles\2rax96bk.default\extensions\fb_add_on@avm.de

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-TPwrMain - %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

HKLM-Run-SmoothView - %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

HKLM-Run-00TCrdMain - %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

AddRemove-ElsterFormular 11.3.0.4235 - E:\uninstall.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-06 13:40

Windows 6.0.6002 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  TOSCDSPD = c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe?/i??????-?A? ??????????0???p????? 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{0c0f8cad-7807-4b5e-a4e1-31a05c7f501f}]

@DACL=(02 0000)

"Dhcpv6Iaid"=dword:0b001644

"Dhcpv6State"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{436cb8c7-7ad5-4c8b-9f18-d6752efaa0a8}]

@DACL=(02 0000)

"Dhcpv6Iaid"=dword:0c00a0d1

"Dhcpv6State"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{7ff4e954-1220-4447-b77a-62e6b1e8ab91}]

@DACL=(02 0000)

"Dhcpv6Iaid"=dword:07020054

"Dhcpv6State"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]

@DACL=(02 0000)

"Dhcpv6Iaid"=dword:07001422

"Dhcpv6State"=dword:00000000
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Tcpip6\Parameters\Interfaces\{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]

@DACL=(02 0000)

"Dhcpv6Iaid"=dword:06001422

"Dhcpv6State"=dword:00000000

.

Zeit der Fertigstellung: 2010-12-06  13:46:22

ComboFix-quarantined-files.txt  2010-12-06 12:46

ComboFix2.txt  2008-03-16 12:49
 

Vor Suchlauf: 15 Verzeichnis(se), 19.548.983.296 Bytes frei

Nach Suchlauf: 20 Verzeichnis(se), 19.622.084.608 Bytes frei
 

- - End Of File - - 980FBAB6B2D2F62C87AE4CA44601EA8C

--- --- ---

Grüsse

Jan

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hi Arne,

GMER hat geklappt. OSAM macht Schwierigkeiten. Es kommt immer die Fehlermeldung "Datei nicht erkannt, möglicherweise ist sie beschädigt..."

Was tun?

Grüsse

Jan

Zum Entpacken von osam bitte WinRAR oder 7zip verwenden

Hi Arne,

danke!

Hier die Logfiles.

Grüsse

Jan

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hier also die beiden Logfiles:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5249

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

05.12.2010 22:14:10
mbam-log-2010-12-05 (22-13-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 362338
Laufzeit: 1 Stunde(n), 40 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\java\jre6\bin\java.exe (Trojan.Downloader) -> No action taken.
c:\Users\Pizza\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\Windows\System32\java.exe (Trojan.Downloader) -> No action taken.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/07/2010 at 08:48 PM

Application Version : 4.46.1000

Core Rules Database Version : 5962
Trace Rules Database Version: 3774

Scan type : Complete Scan
Total Scan Time : 03:36:38

Memory items scanned : 994
Memory threats detected : 0
Registry items scanned : 9825
Registry threats detected : 0
File items scanned : 211647
File threats detected : 29

Adware.Tracking Cookie
C:\Users\Pizza\AppData\Roaming\Microsoft\Windows\Cookies\pizza@youporn[1].txt
C:\Users\Pizza\AppData\Roaming\Microsoft\Windows\Cookies\pizza@pinnaclesystems.122.2o7[1].txt
acvs.mediaonenetwork.net [ C:\Users\jokie\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6YYL5FH8 ]
bc.youporn.com [ C:\Users\jokie\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6YYL5FH8 ]
media01.kyte.tv [ C:\Users\jokie\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\6YYL5FH8 ]
acvs.mediaonenetwork.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
atdmt.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
bc.youporn.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
cdn1.eyewonder.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
cdn5.specificclick.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
enterotracker.de [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
googleads.g.doubleclick.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
ia.media-imdb.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
m1.2mdn.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
macromedia.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
media.kyte.tv [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
media.mtvnservices.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
media.scanscout.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
media01.kyte.tv [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
media1.break.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
objects.tremormedia.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
spe.atdmt.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
track.webgains.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
vfsexc.gmx.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
www.ardmediathek.de [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
www.fliptrack.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
www.trackitdown.net [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]
zbox.zanox.com [ C:\Users\Pizza\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\22NH32JS ]

Trojan.Agent/Gen-Cryptor[Virut]
C:\TOSHIBA\WEBSHOPS\EBAY\ADDTOOLBARBUTTON.EXE

Grüsse

Jan

Zitat:

c:\program files\java\jre6\bin\java.exe (Trojan.Downloader) -> No action taken.
c:\Users\Pizza\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\Windows\System32\java.exe (Trojan.Downloader) -> No action taken.

Wundert mich, dass MBAM da die java.exe bemängelt...
Werte mal beide java.exe bei Virustotal.com aus und poste die Ergebnisse bzw. die Ergebnislinks.

so richtig?

hxxp://www.virustotal.com/file-scan/report.html?id=2cc77a8913919cdffb7b5538249e1b5dbdf274ae5606f92b64a108e99c1ca5a3-1291722109

hxxp://www.virustotal.com/url-scan/report.html?id=c1cbe779ffea3ac705bd0db8c48d7ca4-1291798797

grüsse

jan

Hast du wirklich die c:\program files\java\jre6\bin\java.exe ausgewertet?
Bei VT steht nämlich javaw.exe!!!

leider ist unter c:Programme/java
(steht doch für program files oder?) keine java.exe zu finden...

grüsse

jan

Du sollst ja auch in c:\program files nachsehen!

vielleicht stelle ich mich zu blöd an, aber im Laufwerk c finde ich keine program files...

grüsse

jan

puh, dann starte mal ne Dateisuche nach javaw.exe

ok, hab ich gefunden. Befindet sich in e:update service/jre/bin. Da ist auch java.exe

grüsse

jan

Gibt es bei dir denn diese Datei => c:\programme\java\jre6\bin\java.exe

Ähm kann das sein dass du die mit malwarebytes entfernt hast? :wtf:

jepp!
ich stelle sie wieder her und geh nochmal zurück auf Start :heulen:

Grüsse

Jan

hier also nach der Wiederherstellung das Ergebnis von Virus Total:

hxxp://www.virustotal.com/file-scan/report.html?id=496699e537c06e7b431ea3b766cd13eb6e9ece7c1845e7cba8cbc4b54bfbd5af-1291622083
hxxp://www.virustotal.com/file-scan/report.html?id=496699e537c06e7b431ea3b766cd13eb6e9ece7c1845e7cba8cbc4b54bfbd5af-1291622083

Grüsse

Jan

Dann sind es Fehlalarme von MBAM! Brauchste die Dateien nicht zu löschen. Hätte mich auch gewundert wenn die Dateien schädlich wären.

Noch Probleme ist ist nun alles paletti?

Hallo Arne,

nee, keine Probleme mehr.

Dann erstmal herzlichen Dank für deine Mühe und Geduld! :dankeschoen:

Viele Grüsse

Jan

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

upgedated ist das Betriebssystem. Leider läßt sich der Acrobat Reader 8.0
nicht deinstallieren. Es kommt die Anzeige "Sie verfügen nicht über ausreichend Berechtigungen. Wenden Sie sich an den Systemadministrator" Dabei bin ich als Systemadministrator angemeldet. Ich habe es auch vergeblich über ändern, bzw. reparieren versucht.

Grüsse

Jan

ähh, hat sich erledigt! habs mit revo uninstaller geschafft.

Danke nochmals

Jan

Versuch einfach mal den aktuellen AdobeReader zu installieren, in der Hoffnung, dass er den alten 8er einfach aktualisiert. Danach hast du potentiell nur noch den aktuellen drauf den du auf Wunsch deinstallieren kannst. (wenn das setup alle glattzieht)

Edit: ok, der revo uninstaller geht auch :D