Hallo zusammen,

erstmal Asche über mein Haupt.
Warum nicht sofort gründlich arbeiten.
Aber von Anfang an:
Vor ca. 3 Wochen war der Laptop eines Bekannten mit dem
Bundespolizei-UKASH-Virus befallen.
Diesen habe ich dann "nur" dem "Avira-DE-Cleaner" beseitigt,
so meinte ich auf jeden Fall.
Nun gibts die allseits bekannte Gema-Warnung.
Das Betriebssystem ist Windows Vista, mit dem ich mich leider nicht
gut auskenne.
OTL-Scan ist gelaufen und die Dateien hängen an.

Edit:
kein Homebanking oder ähnliche Aktivitäten

hi

achtung!

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [Doapi] C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe ()
[2011.11.24 01:41:46 | 000,000,861 | ---- | M] () -- C:\Users\Lothar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk
:Files
C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden


öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo,
hat leider etwas gedauert, wegen Problemen vor dem Monitor,
hat aber dann doch alles geklappt.

Textdatei:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Doapi deleted successfully.
C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe moved successfully.
C:\Users\Lothar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wpbt0.dll.lnk moved successfully.
========== FILES ==========
File\Folder C:\Users\Lothar\AppData\Roaming\Adobe\Update\getapi.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Internet

User: Lothar
->Flash cache emptied: 8113342 bytes

User: Public

User: Renate
->Flash cache emptied: 729 bytes

Total Flash Files Cleaned = 8,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Internet
->Temp folder emptied: 647359 bytes
->Temporary Internet Files folder emptied: 3584505 bytes
->FireFox cache emptied: 444943 bytes

User: Lothar
->Temp folder emptied: 270975 bytes
->Temporary Internet Files folder emptied: 688664 bytes
->Java cache emptied: 38083485 bytes
->FireFox cache emptied: 52115829 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Renate
->Temp folder emptied: 163840 bytes
->Temporary Internet Files folder emptied: 49286 bytes
->Java cache emptied: 7140 bytes
->FireFox cache emptied: 42381656 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 709968 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 778 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 133,00 mb


OTL by OldTimer - Version 3.2.31.0 log created on 12132011_164950

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Hochgeladen ist auch alles.
Und schon mal schönen Dank!

ok danke für den upload.
falls es geklappt hatt:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo,

kurze Fehlermeldung von Combofix im blauen Fenster die 2x erschien:

"Failed to get LVA ...."

War leider zu schnell weg um es richtig zu lesen.
Nun scheint aber alles wie beschrieben zu laufen.

ok danke für die info

Das war aber gründlich

Die Meldung lautet übrigens:
"Failed to get Data for 'EnableLVA'
und kam nach Schritt 38 noch einmal.
Anbei die TXT-Datei

öffne Malwarebytes logdateien, alle logs posten

Hallo,

anbei die MBAM-Logs.


Edit:
Der Suchlauf von heute Nachmittag wurde abgebrochen.

hi dieses system ist ja nicht zum ersten mal infiziert und hat auch schon malware die daten klaut.
dieses system ist zusätzlich sehr schlecht gewartet, noch nie weiter updates gesehen etc.
eigendlich wäre es sinnvoller hier mal nen schnitt und nen neuanfang mit vernünftiger absicherung zu machen vor allem da dies genauso viel zeit kostet, wenn sogar weniger, als das aufspüren und dann das absichern danach dauern würde.
deaktiviere autorun:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
sichere bilder dokumente musik filme, extern.
dann erkläre ich dir, falls nötig, wie man das system formatiert.
dann wie man es absichert.
danach müssen alle passwörter geendert werden

Genau
das ist das Problem, welches sehr privat wird.
Darf ich eine PN schicken?

Edit:
Danach gehts öffentlich weiter.

mal sehen, wenn du mir von ner illegalen windows version erzehlen willst ist das was ihr da macht schön dämlich und der suport ist zu ende.
kauft euch legale windows versionen oder nutzt linux.

Nein,
alles legal, soweit ich weiß.
Das Windows auf jedenfall, und die Software die ich installiert habe
auch.
Ich möchte nur keine Details über Bekannte im Netz verbreiten.

na dann sende mal was du sagen willst :-)

Ist geschehen.