Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
BKA-Malware

BKA-Malware


Plagegeister aller Art und deren Bekämpfung: BKA-Malware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 30.09.2011, 17:17   #1
opteryx
 
BKA-Malware - Standard

BKA-Malware


hallo liebes Trojaner-Board Team,

ich hab mir neulich auch die BKA-Malware auf meinem Laptop eingefangen und kann keine Benutzerkonten mehr aufrufen. Beim Admin-Konto kommt sofort der bekannte Bildschirm mit der Aufforderung, zu zahlen und wenn ich versuche, das Gast-Konto anzumelden, hängt sich der Laptop schon auf, bevor die Windows-Oberfläche erscheint. Ich benutze übrigens Windows 7.
Ich bin dankbar um jede Hilfe!

Alt 30.09.2011, 18:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Versuch erstmal das hier bitte:

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.
__________________

__________________
Alt 30.09.2011, 21:43   #3
opteryx
 
BKA-Malware - Standard

BKA-Malware


Zitat:
WIN_7 X86

HKLM\..\Winlogon; Shell = explorer.exe
No action taken
HKCU\..\Winlogon; Shell not found
No action taken
Das Problem blieb bestehen. Ich habe im Taskmanager nachgesehen, jashla.exe wird immer noch ausgeführt und der Screen kommt wieder.
__________________
Alt 30.09.2011, 23:01   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.10.2011, 12:52   #5
opteryx
 
BKA-Malware - Standard

BKA-Malware


ok, OTL ist ausgeführt, die OTL.txt wurde erstellt, aber die Extras.txt nicht. Und wenn ich einen USB-Stick (meine Externe Datenfestplatte) anstecke, kann ich nicht darauf zugreifen. Kann ich jetzt das Reatogo-X-PE wieder runterfahren und mein normales 7er wieder starten ohne dass der Virus auftritt?


Alt 01.10.2011, 17:19   #6
opteryx
 
BKA-Malware - Standard

BKA-Malware


ok, nach Neustart mit angesteckter Festplatte gings dann doch, hier die OTL-File:

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 10/1/2011 2:34:49 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Home Premium  (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
985.00 Mb Total Physical Memory | 728.00 Mb Available Physical Memory | 74.00% Memory free
876.00 Mb Paging File | 788.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\windows | %ProgramFiles% = E:\Program Files
Drive C: | 200.00 Mb Total Space | 171.82 Mb Free Space | 85.91% Space Free | Partition Type: NTFS
Drive D: | 30.25 Gb Total Space | 29.54 Gb Free Space | 97.66% Space Free | Partition Type: NTFS
Drive E: | 187.69 Gb Total Space | 76.71 Gb Free Space | 40.87% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/07/01 08:43:59 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- E:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/28 13:31:13 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- E:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/12/25 09:03:38 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand] -- E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009/09/22 14:16:32 | 000,579,400 | ---- | M] (Lenovo Group Limited) [On_Demand] -- E:\Program Files\Lenovo\ReadyComm\ConnSvc.exe -- (Lenovo ReadyComm ConnSvc)
SRV - [2009/08/14 10:22:48 | 000,509,192 | ---- | M] (Lenovo Group Limited) [On_Demand] -- E:\Program Files\Lenovo\ReadyComm\AppSvc.exe -- (Lenovo ReadyComm AppSvc)
SRV - [2009/07/14 10:27:26 | 000,038,152 | ---- | M] (Lenovo Group Limited) [Auto] -- E:\Program Files\Lenovo\ReadyComm\common\IGRS.exe -- (IGRS)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/07/13 21:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [Auto] -- E:\windows\System32\IgrsSvcs.exe -- (ReadyComm.DirectRouter)
SRV - [2009/07/13 21:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) [On_Demand] -- E:\windows\System32\IgrsSvcs.exe -- (PS_MDP)
SRV - [2009/06/04 15:03:06 | 000,354,840 | ---- | M] (Intel Corporation) [Auto] -- E:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2008/01/16 05:51:44 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WinRing0_1_2_0)
DRV - File not found [Kernel | On_Demand] --  -- (USBCCID)
DRV - File not found [Kernel | On_Demand] --  -- (RtsUIR)
DRV - File not found [Kernel | On_Demand] --  -- (RSUSBSTOR)
DRV - [2011/07/01 08:44:03 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/01 08:44:03 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- E:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/06/17 10:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/02/09 05:20:27 | 000,054,800 | ---- | M] () [Kernel | System] -- E:\windows\System32\drivers\funfrm.sys -- (funfrm)
DRV - [2009/09/14 14:04:28 | 000,217,136 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2009/07/28 17:09:36 | 000,063,240 | ---- | M] (Lenovo) [Kernel | On_Demand] -- E:\Windows\System32\drivers\wdbridge.sys -- (Bridge0)
DRV - [2009/07/21 17:14:58 | 000,081,704 | ---- | M] (CyberLink) [Kernel | On_Demand] -- E:\Windows\System32\drivers\wsvd.sys -- (wsvd)
DRV - [2009/07/16 08:37:14 | 000,011,792 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- E:\Windows\System32\drivers\WDMirror.sys -- (wdmirror)
DRV - [2009/07/13 19:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009/07/13 18:02:51 | 004,231,168 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\netw5v32.sys -- (netw5v32) Intel(R)
DRV - [2009/07/13 18:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\k57nd60x.sys -- (k57nd60x) Broadcom NetLink (TM)
DRV - [2009/06/19 12:18:26 | 000,168,704 | ---- | M] (SMI) [Kernel | On_Demand] -- E:\Windows\System32\drivers\SMIksdrv.sys -- (usbsmi)
DRV - [2009/06/14 22:46:22 | 000,475,648 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\CHDRT32.sys -- (CnxtHdAudService)
DRV - [2009/05/19 09:43:08 | 000,021,520 | ---- | M] (Lenovo Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\AcpiVpc.sys -- (ACPIVPC)
DRV - [2008/08/06 08:34:16 | 000,128,104 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- E:\Windows\System32\drivers\WimFltr.sys -- (WimFltr)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Der_Stutz_ON_E\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = Notebooks, Tablet-PCs, Desktops, PCs, Computer, Zubehör | Lenovo | DE [binary data]
IE - HKU\Der_Stutz_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = Lenovo | MSN
IE - HKU\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\Gast_ON_E\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = Notebooks, Tablet-PCs, Desktops, PCs, Computer, Zubehör | Lenovo | DE [binary data]
IE - HKU\Gast_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = Lenovo | MSN
IE - HKU\Gast_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Romilda_ON_E\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = Notebooks, Tablet-PCs, Desktops, PCs, Computer, Zubehör | Lenovo | DE [binary data]
IE - HKU\Romilda_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = Lenovo | MSN
IE - HKU\Romilda_ON_E\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - Reg Error: Key error. File not found
IE - HKU\Romilda_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: E:\Windows\System32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@canon.com/MycameraPlugin: E:\Program Files\Canon\ZoomBrowser EX\Program\NPCIG.dll (CANON INC.)
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: E:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: E:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: E:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: E:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/09/08 06:59:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.2\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/05/31 15:09:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.14\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011/09/15 03:39:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.14\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2010/09/29 17:04:39 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Der Stutz\AppData\Roaming\Mozilla\Extensions
[2010/09/29 17:04:39 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Der Stutz\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010/07/10 07:18:06 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Der Stutz\AppData\Roaming\Mozilla\Firefox\Profiles\k2ihuyvt.default\extensions
[2011/09/12 15:41:46 | 000,000,000 | ---D | M] (No name found) -- E:\Program Files\Mozilla Firefox\extensions
[2011/09/12 15:41:46 | 000,000,000 | ---D | M] (Skype extension) -- E:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
File not found (No name found) -- 
[2011/09/08 06:59:30 | 000,134,104 | ---- | M] (Mozilla Foundation) -- E:\Program Files\mozilla firefox\components\browsercomps.dll
[2010/07/12 12:33:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- E:\Program Files\mozilla firefox\plugins\npwachk.dll
[2011/05/31 15:09:48 | 000,001,392 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/05/31 15:09:48 | 000,002,252 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011/05/31 15:09:48 | 000,001,153 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011/05/31 15:09:48 | 000,006,805 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/05/31 15:09:48 | 000,001,178 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/05/31 15:09:48 | 000,001,105 | ---- | M] () -- E:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - E:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - E:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\Der_Stutz_ON_E\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\Romilda_ON_E\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] E:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Corel File Shell Monitor]  File not found
O4 - HKLM..\Run: [Energy Management] E:\Program Files\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4 - HKLM..\Run: [EnergyUtility] E:\Program Files\Lenovo\Energy Management\utility.exe (Lenovo(beijing) Limited)
O4 - HKLM..\Run: [IAAnotif] E:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] E:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SmartAudio] E:\Program Files\CONEXANT\SAII\SAIICpl.exe ()
O4 - HKLM..\Run: [UpdateP2GShortCut] E:\Program Files\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [VeriFaceManager]  File not found
O4 - HKLM..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\Der_Stutz_ON_E..\Run: [avupdate] E:\Users\Der Stutz\AppData\Roaming\jashla.exe ()
O4 - HKU\Der_Stutz_ON_E..\Run: [Corel Photo Downloader] E:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe (Corel, Inc.)
O4 - HKU\Der_Stutz_ON_E..\Run: [EA Core]  File not found
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\Romilda_ON_E..\RunOnce: [FlashPlayerUpdate] E:\windows\System32\Macromed\Flash\FlashUtil10t_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: E:\Users\Der Stutz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\Der_Stutz_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Der_Stutz_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\Der_Stutz_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O7 - HKU\Romilda_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Romilda_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKU\Romilda_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - E:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - E:\Program Files\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - E:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - E:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - E:\Program Files\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O13 - gopher Prefix: missing
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - E:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - E:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - E:\windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/09/25 17:02:09 | 000,000,000 | ---D | C] -- E:\Users\Romilda\AppData\Roaming\Winamp
[2011/09/25 17:00:23 | 000,000,000 | ---D | C] -- E:\Users\Romilda\AppData\Local\{815A9AC8-166A-4769-B204-DC8B50944592}
[2011/09/25 16:59:27 | 000,000,000 | ---D | C] -- E:\Users\Romilda\AppData\Roaming\Malwarebytes
[2011/09/12 15:41:22 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
 
========== Files - Modified Within 30 Days ==========
 
[2011/09/30 16:38:54 | 000,001,100 | ---- | M] () -- E:\windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/09/30 16:38:44 | 000,067,584 | --S- | M] () -- E:\windows\bootstat.dat
[2011/09/30 16:38:39 | 774,320,128 | -HS- | M] () -- E:\hiberfil.sys
[2011/09/30 16:36:03 | 000,000,000 | ---- | M] () -- E:\Users\Der Stutz\AppData\Local\{231CDFCB-175B-49E5-B6DE-671CC2900DA4}
[2011/09/30 11:27:20 | 000,006,512 | ---- | M] () -- E:\bootsqm.dat
[2011/09/25 17:06:03 | 000,009,696 | ---- | M] () -- E:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/09/25 17:06:03 | 000,009,696 | ---- | M] () -- E:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/09/25 16:54:46 | 000,202,752 | ---- | M] () -- E:\Users\Der Stutz\AppData\Roaming\jashla.exe
[2011/09/25 16:44:01 | 000,001,104 | ---- | M] () -- E:\windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/09/12 15:41:22 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2011/09/11 12:02:11 | 000,700,874 | ---- | M] () -- E:\windows\System32\perfh007.dat
[2011/09/11 12:02:11 | 000,662,716 | ---- | M] () -- E:\windows\System32\perfh009.dat
[2011/09/11 12:02:11 | 000,147,528 | ---- | M] () -- E:\windows\System32\perfc007.dat
[2011/09/11 12:02:11 | 000,123,910 | ---- | M] () -- E:\windows\System32\perfc009.dat
[2011/09/08 06:59:41 | 000,001,998 | ---- | M] () -- E:\Users\Der Stutz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
 
========== Files Created - No Company Name ==========
 
[2011/09/30 16:36:03 | 000,000,000 | ---- | C] () -- E:\Users\Der Stutz\AppData\Local\{231CDFCB-175B-49E5-B6DE-671CC2900DA4}
[2011/09/30 11:27:20 | 000,006,512 | ---- | C] () -- E:\bootsqm.dat
[2011/09/25 16:54:46 | 000,202,752 | ---- | C] () -- E:\Users\Der Stutz\AppData\Roaming\jashla.exe
[2011/05/19 15:51:08 | 000,000,136 | ---- | C] () -- E:\ProgramData\~27516664r
[2011/05/19 15:51:08 | 000,000,112 | ---- | C] () -- E:\ProgramData\~27516664
[2011/05/19 15:50:52 | 000,000,392 | ---- | C] () -- E:\ProgramData\27516664
[2011/05/08 13:54:57 | 000,116,224 | ---- | C] () -- E:\windows\System32\pdfcmnnt.dll
[2010/10/10 14:34:07 | 000,003,584 | ---- | C] () -- E:\Users\Der Stutz\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/10/09 14:21:26 | 000,000,097 | ---- | C] () -- E:\Users\Der Stutz\AppData\Local\fusioncache.dat
[2010/10/05 05:56:14 | 000,000,056 | ---- | C] () -- E:\ProgramData\ezsidmv.dat
[2010/06/26 06:54:21 | 000,000,000 | ---- | C] () -- E:\windows\PowerReg.dat
[2010/02/09 05:21:22 | 002,110,728 | ---- | C] () -- E:\windows\System32\Apblend.dll
[2010/02/09 05:21:22 | 001,410,312 | ---- | C] () -- E:\windows\System32\IcnOvrly.dll
[2010/02/09 05:21:22 | 001,171,456 | ---- | C] () -- E:\windows\System32\PicNotify.dll
[2010/02/09 05:21:22 | 000,660,744 | ---- | C] () -- E:\windows\System32\EncIcons.dll
[2010/02/09 05:21:22 | 000,513,288 | ---- | C] () -- E:\windows\System32\SimpleExt.dll
[2010/02/09 05:21:02 | 001,044,480 | ---- | C] () -- E:\windows\System32\3DImageRenderer.dll
[2010/02/09 05:20:27 | 000,057,344 | ---- | C] () -- E:\windows\AsfHelper.dll
[2010/02/09 05:20:27 | 000,054,800 | ---- | C] () -- E:\windows\System32\drivers\funfrm.sys
[2010/02/09 05:20:14 | 000,163,840 | ---- | C] () -- E:\windows\System32\SM37XCoInst.dll
[2010/02/09 05:18:40 | 000,140,288 | ---- | C] () -- E:\windows\System32\igfxtvcx.dll
[2010/02/09 05:14:00 | 000,016,648 | R--- | C] () -- E:\windows\System32\LogAPI.dll
[2010/02/09 05:11:31 | 000,982,220 | ---- | C] () -- E:\windows\System32\igkrng500.bin
[2010/02/09 05:11:31 | 000,134,592 | ---- | C] () -- E:\windows\System32\igfcg500.bin
[2010/02/09 05:11:31 | 000,092,216 | ---- | C] () -- E:\windows\System32\igfcg500m.bin
[2010/02/09 05:11:30 | 000,439,300 | ---- | C] () -- E:\windows\System32\igcompkrng500.bin
[2010/01/18 20:37:21 | 000,700,874 | ---- | C] () -- E:\windows\System32\perfh007.dat
[2010/01/18 20:37:21 | 000,295,922 | ---- | C] () -- E:\windows\System32\perfi007.dat
[2010/01/18 20:37:21 | 000,147,528 | ---- | C] () -- E:\windows\System32\perfc007.dat
[2010/01/18 20:37:21 | 000,038,104 | ---- | C] () -- E:\windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- E:\windows\bootstat.dat
[2009/07/14 00:33:53 | 001,792,864 | ---- | C] () -- E:\windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,662,716 | ---- | C] () -- E:\windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- E:\windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,123,910 | ---- | C] () -- E:\windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- E:\windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- E:\windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- E:\windows\System32\dssec.dat
[2009/07/13 20:02:54 | 000,245,248 | ---- | C] () -- E:\windows\System32\DShowRdpFilter.dll
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- E:\windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- E:\windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- E:\windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- E:\windows\System32\mlang.dat
[2007/07/23 03:03:32 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelTraditionalChinese.dll
[2007/07/23 03:03:32 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelSwedish.dll
[2007/07/23 03:03:32 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelSpanish.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelSimplifiedChinese.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelPortugese.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelKorean.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelJapanese.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelGerman.dll
[2007/07/23 03:03:30 | 000,053,248 | ---- | C] () -- E:\windows\System32\AgCPanelFrench.dll
 
========== LOP Check ==========
 
[2010/06/25 16:44:20 | 000,000,000 | -HSD | M] -- E:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Application Data
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Documents
[2010/06/25 16:44:20 | 000,000,000 | -HSD | M] -- E:\ProgramData\Dokumente
[2010/02/09 05:20:27 | 000,000,000 | ---D | M] -- E:\ProgramData\EasyCapture
[2011/05/06 16:19:16 | 000,000,000 | ---D | M] -- E:\ProgramData\Electronic Arts
[2010/06/25 16:44:20 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favorites
[2010/02/09 05:11:02 | 000,000,000 | ---D | M] -- E:\ProgramData\PC-Doctor for Windows
[2010/02/09 05:11:01 | 000,000,000 | ---D | M] -- E:\ProgramData\PCDr
[2011/06/08 04:14:46 | 000,000,000 | ---D | M] -- E:\ProgramData\PhotoStitch
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Start Menu
[2010/06/25 16:44:20 | 000,000,000 | -HSD | M] -- E:\ProgramData\Startmenü
[2010/01/18 13:05:55 | 000,000,000 | ---D | M] -- E:\ProgramData\Temp
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Templates
[2010/10/11 04:56:10 | 000,000,000 | ---D | M] -- E:\ProgramData\Ulead Systems
[2010/06/25 16:44:20 | 000,000,000 | -HSD | M] -- E:\ProgramData\Vorlagen
[2010/01/18 13:04:53 | 000,000,000 | ---D | M] -- E:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
[2011/08/25 06:59:19 | 000,032,632 | ---- | M] () -- E:\windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---
Alt 01.10.2011, 21:48   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
DRV - File not found [Kernel | On_Demand] --  -- (WinRing0_1_2_0)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\Der_Stutz_ON_E\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\Romilda_ON_E\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Corel File Shell Monitor]  File not found
O4 - HKLM..\Run: [VeriFaceManager]  File not found
O4 - HKLM..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\Der_Stutz_ON_E..\Run: [avupdate] E:\Users\Der Stutz\AppData\Roaming\jashla.exe ()
O4 - HKU\Der_Stutz_ON_E..\Run: [EA Core]  File not found
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Autorun.exe
[2011/09/25 16:54:46 | 000,202,752 | ---- | C] () -- E:\Users\Der Stutz\AppData\Roaming\jashla.exe
[2011/05/19 15:51:08 | 000,000,136 | ---- | C] () -- E:\ProgramData\~27516664r
[2011/05/19 15:51:08 | 000,000,112 | ---- | C] () -- E:\ProgramData\~27516664
[2011/05/19 15:50:52 | 000,000,392 | ---- | C] () -- E:\ProgramData\27516664
:Files
E:\Users\Der Stutz\AppData\Roaming\jashla.exe
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.10.2011, 00:39   #8
opteryx
 
BKA-Malware - Standard

BKA-Malware


habe den Fix laufen lassen. Nach dem Beenden hat sich aber keine Logdatei geöffnet und als ich danach versucht hab (nachdem ich noch einmal von CD gestartet habe), mein normales Windows neu zu starten, war der Virus immer noch drauf

Alt 02.10.2011, 00:49   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Wiederhol den FIx unter OTLPE einfach
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.10.2011, 10:52   #10
opteryx
 
BKA-Malware - Standard

BKA-Malware


nachdem ich OTLPE gestartet habe, hat er mir diese Logfile gezeigt:

Zitat:
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinRing0_1_2_0 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry key HKEY_USERS\Romilda_ON_E\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Corel File Shell Monitor deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\VeriFaceManager deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WinampAgent deleted successfully.
File E:\Program Files\Winamp\winampa.exe not found.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Run not found.
File E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\LocalService_ON_E\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
File E:\Windows\System32\mctadmin.exe not found.
Registry key HKEY_USERS\NetworkService_ON_E\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
File E:\Windows\System32\mctadmin.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File E:\autoexec.bat not found.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
File E:\Autorun.exe not found.
File E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
File E:\ProgramData\~27516664r not found.
File E:\ProgramData\~27516664 not found.
File E:\ProgramData\27516664 not found.
========== FILES ==========
File\Folder E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default

User: Default User

User: Der Stutz

User: Gast

User: Public

User: Romilda

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 81900937 bytes

Total Files Cleaned = 78.00 mb

F:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 10022011_041923

Files\Folders moved on Reboot...
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Alt 02.10.2011, 13:07   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Funktioniert Windows wieder im normalen Modus?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.10.2011, 19:31   #12
opteryx
 
BKA-Malware - Standard

BKA-Malware


nein, leider noch nicht. ich versuchs jetz noch ein drittes Mal mit dem OTLPE-Fix, beim zweiten Mal hat er sich danach beim runterfahren aufgehängt und eine Logfile gabs auch nicht. Wenn er mich fragt ob ich rebooten will, drücke ich zwar auf "ok" aber danach passiert nix. Ich muss dann per Hand neustarten.

Mir fällt grad auf dass im OTLPE im Punkt "Extra Registry" der Punkt "none" aktiv ist, überall sonst steht "Use SafeList". Gehört das so?

Edit: hier der aktuelle Log vom Fix:

Zitat:
========== OTL ==========
Service\Driver key WinRing0_1_2_0 not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry key HKEY_USERS\Romilda_ON_E\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Corel File Shell Monitor not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\VeriFaceManager not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WinampAgent not found.
File E:\Program Files\Winamp\winampa.exe not found.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Run not found.
File E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
Registry key HKEY_USERS\Der_Stutz_ON_E\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_USERS\LocalService_ON_E\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
File E:\Windows\System32\mctadmin.exe not found.
Registry key HKEY_USERS\NetworkService_ON_E\Software\Microsoft\Windows\CurrentVersion\RunOnce not found.
File E:\Windows\System32\mctadmin.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File E:\autoexec.bat not found.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{77f5d654-155a-11df-a72f-806e6f6e6963}\ not found.
File E:\Autorun.exe not found.
File E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
File E:\ProgramData\~27516664r not found.
File E:\ProgramData\~27516664 not found.
File E:\ProgramData\27516664 not found.
========== FILES ==========
File\Folder E:\Users\Der Stutz\AppData\Roaming\jashla.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User

User: Der Stutz
->Temp folder emptied: 49689 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Romilda
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5330 bytes

Total Files Cleaned = 0.00 mb

F:\windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 10032011_044142

Files\Folders moved on Reboot...
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
File\Folder F:\Users\Der Stutz\AppData\Local\Temp\Temporary Internet Files\Content.IE5\YAN0QSBW\petrol[1] not found!
File\Folder F:\Users\Der Stutz\AppData\Local\Temp\Temporary Internet Files\Content.IE5\5FVUFXIV\bpol_logo[1] not found!
File\Folder F:\Users\Der Stutz\AppData\Local\Temp\Temporary Internet Files\Content.IE5\5FVUFXIV\pay[1] not found!
File\Folder F:\Users\Der Stutz\AppData\Local\Temp\Temporary Internet Files\Content.IE5\53OE934B\paysafe[1] not found!
File\Folder F:\Users\Der Stutz\AppData\Local\Temp\Temporary Internet Files\Content.IE5\53OE934B\ukash[1] not found!

Registry entries deleted on Reboot...
Edit 2: ...und es geht immer noch nicht
Geändert von opteryx (02.10.2011 um 20:09 Uhr)

Alt 04.10.2011, 14:48   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Wo genau bleibt das installierte Windows beim Booten denn hängen?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.10.2011, 21:57   #14
opteryx
 
BKA-Malware - Standard

BKA-Malware


Sorry, war gerade im Urlaub

Der weiße Bildschirm kommt, wenn Windows fertig gebootet ist. Dann hilft nur noch ohne runterfahren abschalten. Beim Zweiten Benutzerkonto bleibt der Laptop hängen, sobald ich das Benutzerprofil-Icon ausgewählt habe.

Alt 16.10.2011, 13:09   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
BKA-Malware - Standard

BKA-Malware


Dann mach mal erst ein neues Log mit OTLPE und poste es hier
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 1 von 2 1 2

Themen zu BKA-Malware
aufforderung, aufrufe, bekannte, benutzerkonten, bildschirm, dankbar, eingefangen, erschein, gefangen, gen, hilfe!, hängt, laptop, neulich, sofort, troja, trojaner-board, versuche, zahlen


« Data Restore - PC fährt nicht hoch | svchost frisst arbeitsspeicher, ungewollte umleitung bei klick auf link usw. »


Ähnliche Themen: BKA-Malware


  1. Unistall-Vo-package (Malware/Virus?) bei Win7 64 bit /Malware-Adware gelöscht -Danke!
    Lob, Kritik und Wünsche - 06.07.2014 (1)
  2. GDATA und Malware Bytes Anti Malware Premium sinnvoll
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2014 (1)
  3. Win7, firefox startet nicht, Malware laut Malwarebytes Anti-Malware, Security.Hijack
    Log-Analyse und Auswertung - 30.03.2014 (9)
  4. Malware Anti-Malware Scan meldet: pup.optional.opencandy
    Log-Analyse und Auswertung - 06.03.2014 (15)
  5. Trojaner und Malware auf meinem Laptop! Malwarebytes Anti-Malware hat 733 aufgespuert
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (19)
  6. malware: antivirus security pro -anty-malware lässt sich nicht installieren
    Plagegeister aller Art und deren Bekämpfung - 03.10.2013 (15)
  7. Malware trotz OS X Internet Reccovery - VM Malware? Ubuntu in EFI ? Win7 im gleichen Netz infiziert
    Alles rund um Mac OSX & Linux - 26.06.2013 (5)
  8. Malware Yontoo // Malwarebytes-Anti-Malware-Programm keine identifizierte Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (14)
  9. email link Malware Funde Heur.PE@4294967295, Malware@#nwdk01o66rpro, Malware@#2x6qrvr63cjrw
    Plagegeister aller Art und deren Bekämpfung - 29.10.2012 (10)
  10. OpenCandy [Malware] auf dem Rechner, aber Anti-Malware Programme finden keine Bedrohung.
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (5)
  11. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  12. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  13. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  14. Rätselhafter Mailversand - Malware.Packer.Gen, Trojan.Patched und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (25)
  15. Malware, die Google-Suche betrifft und Malware-Entfernungsprogramme blockiert
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (2)
  16. Kann Malware nicht löschen! Trojan.Agent und Malware.Trace
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (19)
  17. werde Malware nicht los z.B. HEUR/HTML.Malware [heuristic
    Log-Analyse und Auswertung - 31.03.2010 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema BKA-Malware - hallo liebes Trojaner-Board Team, ich hab mir neulich auch die BKA-Malware auf meinem Laptop eingefangen und kann keine Benutzerkonten mehr aufrufen. Beim Admin-Konto kommt sofort der bekannte Bildschirm mit der - BKA-Malware...
Archiv
Du betrachtest: BKA-Malware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54