Code: Alles auswählenAufklappen

ATTFilter

========== OTL ==========
Service winmgmt stopped successfully!
Service winmgmt deleted successfully!
C:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully.
winmgmt removed from NetSvcs value successfully!
Service winmgmt stopped successfully!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt deleted successfully.
C:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt\ deleted successfully.
c:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt\ deleted successfully.
c:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js moved successfully.
C:\Dokumente und Einstellungen\Maike\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
C:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js not found.
File C:\Dokumente und Einstellungen\Maike\Startmenü\Programme\Autostart\runctf.lnk not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad not found.
C:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
C:\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe moved successfully.
File C:\Dokumente und Einstellungen\Maike\Startmenü\Programme\Autostart\runctf.lnk not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 12272012_211911
         

Ich glaube,ich schmeiß den PC gleich ausm Fenster
Immer noch alles weg nur Maus und HGbild da...diesmal konnte ich alles nach dem hochfahren jedoch länger als 2 Sekunden sehen,vielleicht 20 Sekunden lang

So ich geb dir jetzt ne spezielle Anleitung die ich mir heute Mittag ausgedacht habe - du bist jetzt also mein treues Versuchskaninchen

Mal sehen ob das was hilft. Wenn nicht, werden wir die Keule auspacken ...

Computer mit Combofix entsperren

Zitat:

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Batch-Datei vorbereiten
   • Drücke Windowstaste + R > notepad (eintippen) > Enter
     Kopiere den folgenden Text vollständig in das Fenster:
     
     Code: Alles auswählenAufklappen

     ATTFilter

     @echo off
     copy %0\..\combofix.exe "%userprofile%"\desktop 
     "%userprofile%"\desktop\combofix.exe
              

   • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
2. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
3. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
4. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe start.bat (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
5. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-27.03 - Maike 27.12.2012  22:05:32.1.2 - x86 MINIMAL
ausgeführt von:: c:\dokumente und einstellungen\Maike\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
c:\dokumente und einstellungen\Maike\wgsdgsdgdsgsd.exe
C:\Thumbs.db
c:\winxp\s
c:\winxp\s\MAMCityDownload.ocx
c:\winxp\s\MASetupCaller.dll
c:\winxp\s\MusiccityDownload.exe
c:\winxp\system32\kock
c:\winxp\system32\muzapp.exe
c:\winxp\system32\xmldm
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-27 bis 2012-12-27  ))))))))))))))))))))))))))))))
.
.
2012-12-27 20:20 . 2012-12-27 20:20	2911	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
2012-12-21 20:40 . 2012-12-21 20:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2012-12-11 20:08 . 2012-12-11 21:17	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\vlc
2012-12-11 20:08 . 2012-12-11 20:14	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\dvdcss
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:31 . 2010-06-08 17:55	290560	----a-w-	c:\winxp\system32\atmfd.dll
2012-12-11 21:56 . 2012-07-18 10:54	697272	----a-w-	c:\winxp\system32\FlashPlayerApp.exe
2012-12-11 21:56 . 2012-07-18 10:54	73656	----a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:56 . 2010-06-08 17:55	1875584	----a-w-	c:\winxp\system32\win32k.sys
2012-11-02 02:02 . 2008-04-14 09:00	375296	----a-w-	c:\winxp\system32\dpnet.dll
2012-11-01 12:15 . 2010-06-08 17:55	920064	----a-w-	c:\winxp\system32\wininet.dll
2012-11-01 12:15 . 2010-06-08 17:55	1469440	----a-w-	c:\winxp\system32\inetcpl.cpl
2012-11-01 12:15 . 2009-08-03 17:29	43520	----a-w-	c:\winxp\system32\licmgr10.dll
2012-10-31 23:39 . 2009-08-03 17:28	385024	----a-w-	c:\winxp\system32\html.iec
2012-10-02 18:04 . 2008-04-14 09:00	58368	----a-w-	c:\winxp\system32\synceng.dll
2012-11-03 18:45 . 2012-11-03 18:44	261600	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-29 16010752]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-22 348664]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
c:\dokumente und einstellungen\Maike\Startmenü\Programme\Autostart\
runctf.lnk - c:\winxp\system32\rundll32.exe [2008-4-14 33792]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 avkmgr;avkmgr;c:\winxp\system32\DRIVERS\avkmgr.sys [x]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-27 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-18 21:56]
.
2012-12-27 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
2012-12-27 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Maike\Anwendungsdaten\Mozilla\Firefox\Profiles\cq68yyr7.default\
FF - ExtSQL: !HIDDEN! 2012-11-22 17:37; {33044118-6597-4D2F-ABEA-7974BB185379}; c:\winxp\system32\16001.014
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-27 22:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2012-12-27  22:09:24
ComboFix-quarantined-files.txt  2012-12-27 21:09
.
Vor Suchlauf: 397.287.424 Bytes frei
Nach Suchlauf: 384.602.112 Bytes frei
.
- - End Of File - - 5EE5631534ECB3EEACE3421F4D265FA6
         

abgesicherter Modus wurde gestartet,ich kann alles sehen^^ hej hej

Sehr schön, dann starte bitte im normalen Modus wieder. Lass diesmal die Wiederherstelluungskonsole installieren nach der Anleitung und dann brauche ich das neue Logfile und DANN werden wir alle Reste entfernen

Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Ich benötige 6 leere Disketten um das zu downloaden..mein PC hat nicht mal ein diskettenlaufwerk

Was erzählst du denn da von Disketten? Das ist eine Datei.

Ich war mal wieder zu voreilig und hab etwas gebraucht bis ich es gecheckt habe *g* Du hast es nicht leicht mit mir :P
Hier die datei:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-27.03 - Maike 28.12.2012  13:50:21.2.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Maike\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Maike\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU(1).exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-28  ))))))))))))))))))))))))))))))
.
.
2012-12-27 20:20 . 2012-12-27 20:20	2911	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
2012-12-21 20:40 . 2012-12-21 20:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2012-12-11 20:08 . 2012-12-11 21:17	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\vlc
2012-12-11 20:08 . 2012-12-11 20:14	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\dvdcss
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:31 . 2010-06-08 17:55	290560	----a-w-	c:\winxp\system32\atmfd.dll
2012-12-11 21:56 . 2012-07-18 10:54	697272	----a-w-	c:\winxp\system32\FlashPlayerApp.exe
2012-12-11 21:56 . 2012-07-18 10:54	73656	----a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:56 . 2010-06-08 17:55	1875584	----a-w-	c:\winxp\system32\win32k.sys
2012-11-02 02:02 . 2008-04-14 09:00	375296	----a-w-	c:\winxp\system32\dpnet.dll
2012-11-01 12:15 . 2010-06-08 17:55	920064	----a-w-	c:\winxp\system32\wininet.dll
2012-11-01 12:15 . 2010-06-08 17:55	1469440	----a-w-	c:\winxp\system32\inetcpl.cpl
2012-11-01 12:15 . 2009-08-03 17:29	43520	----a-w-	c:\winxp\system32\licmgr10.dll
2012-10-31 23:39 . 2009-08-03 17:28	385024	----a-w-	c:\winxp\system32\html.iec
2012-10-02 18:04 . 2008-04-14 09:00	58368	----a-w-	c:\winxp\system32\synceng.dll
2012-11-03 18:45 . 2012-11-03 18:44	261600	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-29 16010752]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-22 348664]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
c:\dokumente und einstellungen\Maike\Startmenü\Programme\Autostart\
runctf.lnk - c:\winxp\system32\rundll32.exe [2008-4-14 33792]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
S1 avkmgr;avkmgr;c:\winxp\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-27 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-18 21:56]
.
2012-12-28 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
2012-12-27 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Maike\Anwendungsdaten\Mozilla\Firefox\Profiles\cq68yyr7.default\
FF - ExtSQL: !HIDDEN! 2012-11-22 17:37; {33044118-6597-4D2F-ABEA-7974BB185379}; c:\winxp\system32\16001.014
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-28 13:53
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3216)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\WPDShServiceObj.dll
c:\winxp\system32\PortableDeviceTypes.dll
c:\winxp\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-12-28  13:54:27
ComboFix-quarantined-files.txt  2012-12-28 12:54
.
Vor Suchlauf: 339.726.336 Bytes frei
Nach Suchlauf: 327.450.624 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU(1).exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 8B2184025BB86D7013804B66BE79C129
         

sehr schön wir haben es gleich geschafft:

Combofix-Skript

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  File::
  c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-28.02 - Maike 28.12.2012  14:08:06.3.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Maike\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Maike\Desktop\CFScript.txt
.
FILE ::
"c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-28 bis 2012-12-28  ))))))))))))))))))))))))))))))
.
.
2012-12-21 20:40 . 2012-12-21 20:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2012-12-11 20:08 . 2012-12-11 21:17	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\vlc
2012-12-11 20:08 . 2012-12-11 20:14	--------	d-----w-	c:\dokumente und einstellungen\Maike\Anwendungsdaten\dvdcss
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:31 . 2010-06-08 17:55	290560	----a-w-	c:\winxp\system32\atmfd.dll
2012-12-11 21:56 . 2012-07-18 10:54	697272	----a-w-	c:\winxp\system32\FlashPlayerApp.exe
2012-12-11 21:56 . 2012-07-18 10:54	73656	----a-w-	c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:56 . 2010-06-08 17:55	1875584	----a-w-	c:\winxp\system32\win32k.sys
2012-11-02 02:02 . 2008-04-14 09:00	375296	----a-w-	c:\winxp\system32\dpnet.dll
2012-11-01 12:15 . 2010-06-08 17:55	920064	----a-w-	c:\winxp\system32\wininet.dll
2012-11-01 12:15 . 2010-06-08 17:55	1469440	----a-w-	c:\winxp\system32\inetcpl.cpl
2012-11-01 12:15 . 2009-08-03 17:29	43520	----a-w-	c:\winxp\system32\licmgr10.dll
2012-10-31 23:39 . 2009-08-03 17:28	385024	----a-w-	c:\winxp\system32\html.iec
2012-10-02 18:04 . 2008-04-14 09:00	58368	----a-w-	c:\winxp\system32\synceng.dll
2012-11-03 18:45 . 2012-11-03 18:44	261600	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-29 16010752]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-22 348664]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-17 252296]
.
c:\dokumente und einstellungen\Maike\Startmenü\Programme\Autostart\
runctf.lnk - c:\winxp\system32\rundll32.exe [2008-4-14 33792]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
S1 avkmgr;avkmgr;c:\winxp\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-28 c:\winxp\Tasks\Adobe Flash Player Updater.job
- c:\winxp\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-18 21:56]
.
2012-12-28 c:\winxp\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
2012-12-28 c:\winxp\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-07-18 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Maike\Anwendungsdaten\Mozilla\Firefox\Profiles\cq68yyr7.default\
FF - ExtSQL: !HIDDEN! 2012-11-22 17:37; {33044118-6597-4D2F-ABEA-7974BB185379}; c:\winxp\system32\16001.014
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-28 14:11
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2012-12-28  14:12:07
ComboFix-quarantined-files.txt  2012-12-28 13:12
ComboFix2.txt  2012-12-28 12:54
.
Vor Suchlauf: 308.543.488 Bytes frei
Nach Suchlauf: 296.116.224 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - ADB992D2A8588D30BD6D3C3DBFAF4581
         

Gut!

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2:
ESET Online Scanner

Zitat:

Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Bitte hier klicken --->
  • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
• drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern!

Wenn der Scan beendet wurde

• Klicke und dann
• Speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck: LINK1 LINK2

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Schritt 4:
Upload zur Analyse bei Trojaner-Board

• Bitte den folgenden Ordner/Dateien in ein Zip-Archiv packen (kein Passwort!)
  
  Code: Alles auswählenAufklappen

  ATTFilter

  c:\qoobox
           

• Jetzt die Dateien bitte nach folgende Anleitung zur Analyse einsenden.
  Trojaner-Board Upload-Channel

ryder...
punkt 4 verstehe ich nicht den ersten Punkt mit dem zip-archiv

Zitat:

Zitat von MyDear

ryder...
punkt 4 verstehe ich nicht den ersten Punkt mit dem zip-archiv

wie mache ich das denn?!
KÖnnte dir jetzt wie immer die 3 ergebnise posten oder halt da im uploadchannel reinstellen.
Sonst bitte erklären wie ich die dateien in zip packe

7zip installieren: Download 32 bit!

dann ordner suchen - rechtsklick - in archiv packen

Hab ich gemacht und als zip da hochgeladen wie es in der Anleitung stand

Ok danke, und die Logfiles?

Ehm,die habe ich da jetzt als zip gemacht...war das falsch?
ich schick se dir gern auch )

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2012.12.28.10

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Maike :: BIE [Administrator]

28.12.2012 19:11:10
mbam-log-2012-12-28 (19-11-10).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 270725
Laufzeit: 3 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\Maike\Eigene Dateien\Downloads\video_downloader.exe (PUP.BundleInstaller.VG) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINXP\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator.BIE.001\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator.BIE\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Maike\Startmenü\Programme\Autostart\runctf.lnk (Trojan.Ransom.SUGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 0.99.56  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Please wait while WMIC compiles updated MOF files. 
 WMI entry may not exist for antivirus; attempting automatic update. 
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 CCleaner     
 JavaFX 2.1.1    
 Java(TM) 7 Update 5  
 Java version out of Date! 
 Adobe Flash Player 	11.5.502.135  
 Adobe Reader 10.1.4 Adobe Reader out of Date!  
 Mozilla Firefox 16.0.2 Firefox out of Date!  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
         

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Maike\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\79afaeaf-2ff04845	Win32/Reveton.N trojan
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Maike\wgsdgsdgdsgsd.exe.vir	Win32/Reveton.N trojan