Hi

Soll 50 euro zahlen denke mal das ist der falsche weg.
Hier mein olt

Hi

Habe noch mal ein olt im abgesicherten modus gemacht.
Der erste war unter einem anderen benutzer wo der trojaner noch nicht war.

Jagger

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

:OTL
O4 - HKCU..\Run: [{06FA254D-8AEB-6535-C3DB-6C9DB1430F47}] C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Ryaso\kemonu.exe ()
O4 - HKCU..\Run: [SkypePM] C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe ()
 :Files
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Ryaso
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Anwendungsdaten\Skype
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hi

Habe versucht die datei mit uploadchannel hoch zu laden.
Mir wurde auch geschrieben das es geklappt hat.
Keine ahnung was ich falsch mache. sorry.

Jagger

Anhang entfernt //cosinus

warum hängst du das im forum an, siehst du den roten hinweis nicht, willst du das sich wer mit malware infiziert?
nutzt du das system für onlinebanking, einkäufe, sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Hi

Sorry natürlich will ich nicht das andere probleme bekommen wegen mir.

Der rechner wird nur zum surfen und chatten genommen.
Kein banking oder sonst was, was mit geld zu tun hat.
E-mails werden abgerufen.

Jagger

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi

Ging ohne probleme durch


Combofix Logfile:

Code: Alles auswählenAufklappen

ComboFix 12-04-03.02 - Andy 03.04.2012  17:23:23.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.542 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Andy\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Recycle.Bin
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-03 bis 2012-04-03  ))))))))))))))))))))))))))))))
.
.
2012-04-02 16:13 . 2012-04-02 16:13	--------	d-----w-	c:\programme\7-Zip
2012-04-02 16:05 . 2012-04-03 15:14	1044576	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2012-04-02 15:31 . 2012-04-02 17:31	--------	d-----w-	C:\_OTL
2012-03-27 17:47 . 2012-03-27 17:48	--------	d-----w-	c:\dokumente und einstellungen\kfztfglbvkzjhb
2012-03-18 18:40 . 2012-03-18 18:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2012-03-18 18:40 . 2012-03-18 18:40	--------	d-----w-	c:\programme\Snapshot Viewer
2012-03-18 18:33 . 2012-03-18 18:46	--------	d-----w-	c:\windows\ShellNew
2012-03-05 14:24 . 2012-03-05 14:24	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\My Horse and Me
2012-03-05 14:18 . 2012-03-05 14:18	278984	----a-w-	c:\windows\system32\drivers\atksgt.sys
2012-03-05 14:18 . 2012-03-05 14:18	25416	----a-w-	c:\windows\system32\drivers\lirsgt.sys
2012-03-05 13:52 . 2005-05-26 14:34	2297552	----a-w-	c:\windows\system32\d3dx9_26.dll
2012-03-05 13:52 . 2012-03-05 13:52	--------	d-----w-	c:\programme\Atari
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-01-06 39408]
"RegistryBooster"="c:\programme\Uniblue\RegistryBooster\launcher.exe" [2011-01-21 67456]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"EDS"="c:\programme\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-20 659456]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"DMHotKey"="c:\programme\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2007-10-31 2768896]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-14 151552]
"SUPBackground"="c:\programme\Samsung\Samsung Update Plus\SUPBackground.exe" [2010-04-20 300912]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-18 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-18 137752]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-26 652624]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.12.2010 13:37 136360]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [06.10.2008 13:58 4300]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [14.01.2008 19:01 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [06.10.2008 14:03 238464]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.04.2010 13:57 136176]
S3 cdiskdun;cdiskdun;\??\c:\dokume~1\Carsten\LOKALE~1\Temp\cdiskdun.sys --> c:\dokume~1\Carsten\LOKALE~1\Temp\cdiskdun.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [05.04.2010 13:57 136176]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-05 11:56]
.
2012-04-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-05 11:56]
.
2012-04-03 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2011-01-21 14:19]
.
2012-04-03 c:\windows\Tasks\User_Feed_Synchronization-{1A9832CD-6B3A-490E-A4DA-6815C581FD72}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe" //mailurl:mailto:root@freshaireuv.com
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-03 17:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2136)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-04-03  17:35:17
ComboFix-quarantined-files.txt  2012-04-03 15:35
.
Vor Suchlauf: 3 Verzeichnis(se), 44.364.468.224 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 44.420.321.280 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - C0FFB184E457ECC3B0F2262541B79155
         

--- --- ---

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hi

Hier der log

2012/04/04 16:56:52 +0200 NBANDY Andy MESSAGE Starting protection
2012/04/04 16:57:07 +0200 NBANDY Andy MESSAGE Protection started successfully
2012/04/04 16:57:10 +0200 NBANDY Andy MESSAGE Starting IP protection
2012/04/04 16:57:11 +0200 NBANDY Andy ERROR IP protection failed: PfMakeLog failed with error code 21
2012/04/04 17:08:45 +0200 NBANDY Andy MESSAGE Executing scheduled update: Daily
2012/04/04 17:08:55 +0200 NBANDY Andy MESSAGE Database already up-to-date