Hallo Trojaner - Board Team

Auch mich hat es getroffen mit dem Teil
Ich hab schonmal das logfile erstellt gemäß der Anleitung.

Vielen Dank im Vorraus für Eure Hilfe

lg Ronny

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Funktioniert nicht

Wenn ich im normalen Modus starte, komme ich auf den Desktop und dann sofort in dieses Trojaner interface,

Wenn ich im abgesicherten Modus starte (egal welchen ich wähle), sieht man wie alle Treiber laden und dann kommt sofort der reboot.

Pc lässt sich nur über OTLPE vernünftig starten.
darüber hab ich ja auch das OTL Log erstellt.

das entschlüsselungs-Tool hab ich mir auch schon geladen um die Dateien zu entschlüssen wenn ich wieder rankomme.

Ich brauch jetzt quasi nur einen code damit ich über OTL das System fixen kann, dass es wieder normal startet und ich die Dateien sichern kann.

vielen Dank
Ronny

Ich hab danach gefragt, weil das über den abgesicherten meistens einfacher geht, sofern er denn ginge

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search Results"
FF - prefs.js..browser.search.order.1: "Search Results"
FF - prefs.js..browser.search.selectedEngine: "Search Results"
FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406"
FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=102&systemid=406&q="
O2 - BHO: (Yahoo! Companion BHO) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (Yahoo! Inc.)
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O2 - BHO: (EWPBrowseObject Class) - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll ()
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Programme\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O2 - BHO: (MSN Toolbar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll (Microsoft Corp.)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (MSN Toolbar) - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll (Microsoft Corp.)
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Programme\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (Yahoo! Inc.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Ronny_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Ronny_ON_C\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found.
O3 - HKU\Ronny_ON_C\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\Ronny_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\Ronny_ON_C\..\Toolbar\WebBrowser: (Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll (Yahoo! Inc.)
O4 - HKU\Ronny_ON_C..\Run: [ACA3CE8E] C:\WINDOWS\system32\01E8054BACA3CE8ED789.exe (Tastiera penna)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Ronny_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Ronny_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - AppInit_DLLs: (C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\datamngr.dll) - C:\Programme\Windows iLivid Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\IEBHO.dll) - C:\Programme\Windows iLivid Toolbar\Datamngr\IEBHO.dll (Bandoo Media, inc)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\01E8054BACA3CE8ED789.exe) - C:\WINDOWS\system32\01E8054BACA3CE8ED789.exe (Tastiera penna)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/06/25 05:07:40 | 000,000,087 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{16fcb9f8-7fff-11e1-a309-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{16fcb9f8-7fff-11e1-a309-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{16fcb9f8-7fff-11e1-a309-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{b05fd1d7-7e68-11e1-a2fe-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{b05fd1d7-7e68-11e1-a2fe-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b05fd1d7-7e68-11e1-a2fe-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{bb78f432-d106-11de-9ef2-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{bb78f432-d106-11de-9ef2-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{bb78f432-d106-11de-9ef2-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{d4229816-7e67-11e1-a2fd-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{d4229816-7e67-11e1-a2fd-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d4229816-7e67-11e1-a2fd-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{d4229819-7e67-11e1-a2fd-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{d4229819-7e67-11e1-a2fd-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d4229819-7e67-11e1-a2fd-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{e5d4c0aa-9c1f-11db-9793-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{e5d4c0aa-9c1f-11db-9793-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e5d4c0aa-9c1f-11db-9793-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O33 - MountPoints2\{e612188c-802c-11e1-a30d-00c0a8a7db33}\Shell - "" = AutoRun
O33 - MountPoints2\{e612188c-802c-11e1-a30d-00c0a8a7db33}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e612188c-802c-11e1-a30d-00c0a8a7db33}\Shell\AutoRun\command - "" = E:\AutoRun.exe
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:09DBCD87
:Files
C:\WINDOWS\System32\winsh32?
C:\DPsFnshr.exe
C:\DSPdsblr.exe
C:\Dokumente und Einstellungen\Ronny\Anwendungsdaten\Gzmu
C:\pmtimer.exe
C:\WINDOWS\System32\01E8054BACA3CE8ED789.exe
C:\mute.exe
C:\makePNF.exe
C:\DPsFnshr.ini
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => Anleitung: UploadChannel - Trojaner-Board
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hat super funktioniert
Rechner läuft wieder und ich bin fleißig dabei alles zu entschlüsseln.
Ordner "movedfiles" ist hochgeladen.

Vielen herzlichen Dank!
Echt ne super Sache hier - macht weiter so. Echt klasse!


Im Anhang ist noch das Logfile nach dem Fixen

Gruß
Ronny



edit: Der Abgesicherte Modus geht jetzt trotzdem nicht Kann man da noch was machen um den wieder in Gang zu bekommen?

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Setze einen Haken bei "Scan archives".
• Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

 hier steht das Log
         

ok, ich hab die logs jetzt mal erstellt
Mit malware die gefundenen sachen gelöscht, aber abgesicherter modus geht immernoch nicht.
es kommt der ladeschirm wo alle treiber geladen werden, dann kommt sofort ein bluescreen und ein reboot.
der bluescreen ist aber nur so kurz, dass ich nicht erkenne was da steht
kann es was damit zu tun haben, dass ich mal versucht hatte ein windows "drüberzubügel" - war aber ein englisches. hatte das aber dann abgebrochen.
denn der auswahlscreen vom abgesicherten modus ist englisch

hier die logs

Malwarebytes

Code: Alles auswählenAufklappen

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.14.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Ronny :: MISTERPFITNESS [Administrator]

Schutz: Aktiviert

14.05.2012 20:19:33
mbam-log-2012-05-14 (20-19-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 313280
Laufzeit: 1 Stunde(n), 5 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0140DF95-9128-4053-AE72-F43F0CFCA062} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{2D6E3F55-BAA9-4DE2-B3F1-4DB91A845141}\RP1\A0025289.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

ESET Online Scanner

Code: Alles auswählenAufklappen

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=65ea6838168b374998966a7ab3685c13
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-14 11:22:00
# local_time=2012-05-15 01:22:00 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 2870 2870 0 0
# compatibility_mode=8192 67108863 100 0 1866 1866 0 0
# scanned=163283
# found=4
# cleaned=0
# scan_time=6437
C:\Programme\Windows iLivid Toolbar\Datamngr\datamngrUI.exe	a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05082012_233005\C_Programme\Windows iLivid Toolbar\Datamngr\datamngr.dll	a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05082012_233005\C_Programme\Windows iLivid Toolbar\Datamngr\IEBHO.dll	probably a variant of Win32/Toolbar.SearchSuite application (unable to clean)	00000000000000000000000000000000	I
${Memory}	a variant of Win32/Toolbar.SearchSuite application	00000000000000000000000000000000	I
         

vielen dank schonmal
gruß ronny

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

der normale modus geht einwandfrei
ist mir nicht aufgefallen, dass da irgendwas fehlt
im normalen modus scheint alles uneingeschränkt zu funktionieren
also nichts auffälliges

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread