Warum das Benutzerkonto "Admin" keine Adminrechte hat verwirrt mich auch.
Urspünglich war das jedenfalls so.

Das Benutzerkonto "Anwender" hätte diese bestimmt, da kommt man aber nicht ran,
weil der GVU -Trojaner dieses Benutzerkonto ja sofort beschlagnahmt.

Zitat:

Bevor wir weiteres probieren teste bitte noch eine Sache:
Melde dich mit dem User "Administrator" mal an.
Der sollte evtl. noch ein leeres Kennwort haben und ist vllt auch nicht von der Sperre betroffen

Das Benutzerkonto "Admin" ist das "eingeschränkte Konto", welches man auf dem beigefügten Bild sieht.
Dem habe ich ja jetzt ein PW gegeben (siehe Beitrag von 16:38 h und 16:14 h)
und ist nicht von der Sperre betroffen.

.... aber ich hab doch noch ein weiteres eingeschränktes Konto ohne PW und ohne Sperre, nämlich ...

Mein Benutzerkonto "Internet" ist
a) definitiv auch nicht von der Sperre betroffen
b) hat kein PW
c) ist ein Konto mit eingeschränkten Rechten

siehe auch Beitrag von 11:24 h

Zitat:

Das Benutzerkonto "Internet" wurde damals mit eingeschränkten Rechten angelegt.
(ich denke das ist auch immernoch so. ) < inzwischen bestätigt >

Es wurde aber auch noch ein Benutzerkonto "Administrator" mit Adminrechten angelegt.
(auch hier denke ich, daß das immernoch so ist mit den Rechten) <inzwischen leider wiederlegt, siehe folgenden Screen-Shot>

Also wenn ich jetzt hier "Eigenes Kennwort entfernen" betätige, fällt drüben die Klammer
"(kennwortgeschützt)" auch wieder weg.
Somit wäre es dann wieder der gleiche Stand wie bei meinem anderen funkionierenden Benutzerkonto "Internet".

Nochmal der Vollständigkeit halber, siehe Beitrag von 14:50 h

Zitat:

Es gibt dann noch ein Gastkonto, welches auch noch funktioniert aber Gastrechte besitzt.

Mein Benutzerkonto "Gast" ist
a) definitiv auch nicht von der Sperre betroffen
b) hat kein PW
c) ist ein Konto mit Gastrechten

Zitat:

Dem habe ich ja jetzt ein PW gegeben (siehe Beitrag von 16:38 h und 16:14 h)
und ist nicht von der Sperre betroffen.

Eingeschränkte und Gastkonten bringen uns aber nichts, man braucht eins mit Adminrechten
Da es nichts wird müssen wir mit OTLPE ran, das wollte ich als letzte Optionen nutzen um den Rechner zu entsperren

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Zitat:

Eingeschränkte und Gastkonten bringen uns aber nichts, man braucht eins mit Adminrechten
Da es nichts wird müssen wir mit OTLPE ran, das wollte ich als letzte Optionen nutzen um den Rechner zu entsperren

Hallo,

bevor ich die vorgeschlagenen Aktionen ausführe und was nicht verstehe, soll ich ja fragen.
Aus diesem Grund fasse ich nochmal schnell zusammen und frage dann:

a) das Konto mit Admin-Rechten ist gesperrt vom Trojaner
b) die anderen Konten auf dem Rechner funktionieren. Eingeschränkte und Gastkonten bringen uns aber nichts,...
c) ... man braucht eins mit Adminrechten.

Meine Frau hat mir zum Punkt c) jetzt ein Buch unter die Nase gehalten, in dem steht:

Zitat:

Haben sie .... alle Administatorenkonten unter Windows XP gelöscht ....
Sie müssen dann das System im abgesicherten Modus neu starten und sich unter dem Konto
Administrator anmelden.
<Wäre dann bei mir das gesperrte Benutzerkonto "Anwender", welches die Adminrechte haben sollte>

Als ich - nachdem das Konto blockiert war- hier im Trojaner-Bord einen ähnlichen Fall verfolgt habe,
war auch eine der ersten Fragen, ob der Rechner noch im abgesicherten Modus startet.

Ich habe das jetzt noch nicht versucht, weil wenn wir das versuchen,
dann möchte ich das unter Anleitung ausführen.
Ich nehme es stark an, daß es funktioniert, da es ja auch Benutzerkonten gibt, die nicht blockiert sind.

Daher jetzt meine Frage:
Gibt es nicht doch noch eine vorletzte Methode über den abgesicherten Modus
(denn die anderen Benutzerkonten funktionieren ja noch bzw. der Rechner ist nicht komplett blockiert),
bevor man OTLPE als letzte Option nutzt um den Rechner zu entsperren ?

War das jetzt eine sinnvolle Zwischenbemerkung, oder hätte ich mir das sparen können ?

Naja, ausprobieren kannst du es, also versuch dich mal mit dem vordefinierten Konto "Administrator" im abgesicherten Modus anzumelden. Dieses Konto ist normalerweise nicht sichtbar und sollte hoffentlich auch ein leeres Kennwort haben.

Erfolgsmeldung !

Ich habe den abgesicherten Modus mit Eingabeaufforderung gewählt.
Das cmd-Fenster ist offen und es zeigt sich:

Zitat:

C:\ Dokumente und Einstellungen\Administrator>_

Das ist doch gut, oder ?

Wieso denn mit Eingabeaufforderung? Funktioniert der mit Netzwerktreibern nicht?
Egal, tipp da mal bitte ein: control userpasswords2 und führe mit ENTER aus

Da bitte dem User "admin" auch mal die Administratorrechte geben. Neu starten im normalen Modus und mit dem user "admin" der nun auch Adminrechte hat anmelden. Dann OTL-Logs neu erstellen

Zitat:

Windows XP Professional Edition Service Pack 2

Warum hast du denn ein XP-Pro, ist das ein gewerblich genutzter Rechner oder war es mal ein Firmen-/Büro-PC?
Und wieso hast du nur das SP2 installiert, das SP3 für XP ist ein absolutes Pflichtupdate! Aber bitte jetzt nicht nicht installieren.

Mit dem User "admin" kannst du normal jetzt den Rechner bedienen? Wenn ja, dann bitte ein Log mit CF machen:


Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Zitat:

Warum hast du denn ein XP-Pro,
ist das ein gewerblich genutzter Rechner oder war es mal ein Firmen-/Büro-PC?

Dieser Laptop wurde gekauft, als es kaum noch welche mit XP gab, da damals schon
Vista vertrieben wurde.
Wir wollten aber XP haben, die Upgrade-CD zu Vista haben wir auch dazu bekommen,
haben es aber nie installiert, weil XP stabil und zuverlässig gelaufen ist.
XP-Pro war auf dem Laptop vorinstalliert.
Wahrscheinlich hätte dieser Laptop mal ein Firmenlaptop werden sollen.
Jedenfalls wurde der Laptop bei Amazon angeboten und wir haben ihn mit dieser Ausstattung
von dort so erhalten.

Zitat:

Und wieso hast du nur das SP2 installiert,
das SP3 für XP ist ein absolutes Pflichtupdate!

Der Rechner hat sich periodisch immer alle Service-Updates von SP2 installiert.
Damals als SP3 rauskam wurde berichtet, daß SP3 nicht nötig sei, wenn man periodisch
die Service-Updates von SP2 installiert hätte.
Außderdem hatten User nach dem Installieren von SP3 von Problemen berichtet.
Aus diesen beiden Gründen wurde SP3 nicht installiert.
(Deinem Kommentar zufolge war das wohl ein Fehler ... )

Zitat:

Mit dem User "admin" kannst du normal jetzt den Rechner bedienen?
Wenn ja, dann bitte ein Log mit CF machen:

Hier folgend das CF-Log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-05-12.01 - Admin 12.05.2013  21:52:30.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1014.455 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\Combofix\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Anwender\WINDOWS
c:\programme\Gemeinsame Dateien\Will.ico
c:\windows\EventSystem.log
c:\windows\system32\muzapp.exe
c:\windows\system32\player.dll
c:\windows\system32\SET18E.tmp
c:\windows\system32\SET192.tmp
c:\windows\system32\SET19A.tmp
c:\windows\system32\System32\MASetupCleaner.exe
c:\windows\system32\System32\muzapp.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\Temp\log.txt
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-04-12 bis 2013-05-12  ))))))))))))))))))))))))))))))
.
.
2013-05-10 22:24 . 2013-05-10 22:24	--------	d-----w-	c:\dokumente und einstellungen\Admin\.az61
2013-05-10 22:15 . 2013-05-10 22:15	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2013-05-08 10:27 . 2013-05-08 10:27	--------	d-----w-	c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Temp
2013-05-08 06:55 . 2013-05-08 06:55	--------	d-----w-	c:\dokumente und einstellungen\Internet\Lokale Einstellungen\Anwendungsdaten\Temp
2013-05-08 06:36 . 2013-05-08 06:36	--------	d-sh--w-	c:\dokumente und einstellungen\Internet\PrivacIE
2013-04-16 20:38 . 2013-04-16 20:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hvxi
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-20 413696]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="c:\windows\RUNXMLPL.exe" [2007-04-21 20480]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-09-07 1015808]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2007-02-20 61440]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-01-08 68640]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2007-03-02 208896]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2007-07-04 475136]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-05-28 342528]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2007-07-11 421888]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2007-10-17 858632]
"snpstd3"="c:\windows\vsnpstd3.exe" [2007-04-25 831488]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-20 413696]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2009-01-05 1945600]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-5-24 45056]
AZ 6-1.launcher.kids.lnk - c:\dokumente und einstellungen\Anwender\Desktop\Nadine Grundschule\AZ 6-1\Kids\az6-1.launcher.exe [2009-12-16 235693]
phase-6 Reminder.lnk - c:\programme\phase-6\phase-6\reminder\reminder.exe [2012-10-30 724992]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Phoner lite 147\\PhonerLite.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Unified Remote\\RemoteServer.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner lite132\\PhonerLite.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner lite147\\PhonerLite.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-Lite141\\PhonerLite.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-lite144\\PhonerLite.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-lite184\\PhonerLite.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-lite191\\PhonerLite.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-lite195\\PhonerLite.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Lokale Einstellungen\\Temp\\7zS495B\\setup\\HPZnui01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Desktop\\Daten\\Phoner Lite\\Phoner-lite207\\PhonerLite.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.09.2011 21:57 136360]
R2 Live Updater Service;Live Updater Service;c:\programme\Acer\Acer Updater\UpdaterService.exe [19.06.2012 00:52 255376]
R2 Start BT in service;Start BT in service;c:\programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [19.03.2008 16:52 51816]
S2 Ca533av;WWL 401 Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [21.08.2008 16:03 515803]
S2 derby;Apache Derby Database;c:\dokumente und einstellungen\Anwender\Desktop\Nadine Grundschule\AZ 6-1\derby\wrapper.exe [23.11.2007 18:21 204800]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]
S3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\drivers\ssadadb.sys [09.10.2011 00:05 30312]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys [05.07.2012 19:34 80824]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [16.06.2011 08:57 20032]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys --> c:\windows\system32\DRIVERS\ewusbfake.sys [?]
S3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\drivers\ssadbus.sys [09.10.2011 00:05 121064]
S3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\drivers\ssadmdfl.sys [09.10.2011 00:05 12776]
S3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\drivers\ssadmdm.sys [09.10.2011 00:05 136808]
S3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\drivers\ssadserd.sys [09.10.2011 00:05 114280]
S3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\drivers\ssudmdm.sys [05.07.2012 19:34 181432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-02 c:\windows\Tasks\DriverBoost-RTMRules.job
- c:\programme\DriverBoost\DriverBoost\DriverBoost.exe [2012-05-21 19:15]
.
2013-04-02 c:\windows\Tasks\DriverBoost-RTMScan.job
- c:\programme\DriverBoost\DriverBoost\DriverBoost.exe [2012-05-21 19:15]
.
2013-05-08 c:\windows\Tasks\DriverBoost-RTMUpdater.job
- c:\programme\DriverBoost\DriverBoost\DriverBoost.exe [2012-05-21 19:15]
.
2013-05-12 c:\windows\Tasks\User_Feed_Synchronization-{DE629F5D-64E1-4DDE-B3E4-D66254841F57}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
DPF: {AC3FC1E2-26B3-46E5-8EC2-B1D5E4C90331} - hxxp://www.microseven.com/hrctech/front/CameraOCX.cab
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://217.91.155.3:2250/activex/AMC.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-eLockMonitor - c:\acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
AddRemove-Schulschriften - c:\windows\unin0407.exe
AddRemove-tulox-Demo - c:\programme\tulox (Demoversion)\UNWISE32
AddRemove-01_Simmental - c:\eigene programme\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\eigene programme\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\eigene programme\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\eigene programme\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\eigene programme\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\eigene programme\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\eigene programme\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\eigene programme\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\eigene programme\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\eigene programme\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\eigene programme\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\eigene programme\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\eigene programme\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\eigene programme\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\eigene programme\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-21_Searsburg - c:\eigene programme\Samsung\USB Drivers\21_Searsburg\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\eigene programme\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\eigene programme\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\eigene programme\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-26_VIA_driver2 - c:\eigene programme\Samsung\USB Drivers\26_VIA_driver2\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-12 22:07
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1028)
c:\windows\System32\BCMLogon.dll
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2013-05-12  22:09:30
ComboFix-quarantined-files.txt  2013-05-12 20:09
.
Vor Suchlauf: 25 Verzeichnis(se), 10.258.403.328 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 10.628.853.760 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F6A7E22CD28A216CDEA1E7BCBA60AB59
         

Als CF fertig war und das Log erstellt hatte, lief gerade noch eine Installation an,
welche nach kurzem mit der folgenden Meldung unterbrochen wurde:



Dies ist jetzt der derzeitige Stand.
Soll ich hier mit "OK" versuchen diese Installation abzuschließen ?
Wenn CF diese Installation gestartet hat, wird es sicher benötigt, richtig ?

* Was ist dieses Windows MediaXW ?
* Wofür wird es benötigt ?

btw:
Nachdem CF das Logfile erstellt hatte, gab es bis jetzt noch kein Neustart des Systems,
was wohl auch mit der noch nicht beendeten Installation (siehe Screen-Shot) zusammenhängt. (?)

Solange die Installation auf eine Eingabe wartet, habe ich jetzt für die Zwischenzeit den
Virenscanner AVIRA AntiVir wieder aktiviert.

Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Schau bitte nochmal oben in meinen vorherigen Beitrag bzgl. diesem Screen-Shot:



Fragen:
a) Muß dieses MediaXW installiert werden, oder kann ich die Installation abbrechen ?
b) Was ist, wenn ich versuche die Installation mit "OK" zu beenden,
aber ich die Fehlermeldung erneut erhalte und sich die Installation nicht beenden lassen will ?

Brich das ab, mach mit den o.g. Tools weiter

Zwischenmeldung:

Gmer scannt gerade den Rechner ....

... aber diese Installation von MediaXW ist recht hartnäckig und penetrant.
Jedesmal (bevor GMER gestartet wurde) wenn ich im Explorer in einen Ordner wechsle,
fängt es an und will installiert werden.
Ich habe die Installation jetzt schon mehrfach abgebrochen, aber es gibt keine Ruhe.
Mal schauen, ob es weiterhin so hartnäckig ist, nachdem GMER das Logfile erstellt hat.

So sieht das dann aus:



... und nach der Erstellung des GMER-Logfiles ist es auch nicht besser geworden.
Ich muß diese MediaXW-Installation 3 x hintereinander abbrechen ...

Hier das GMER-Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-05-13 00:38:22
Windows 5.1.2600 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e ST9160821AS rev.3.ALD 149,05GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\kxlyqpob.sys


---- System - GMER 2.1 ----

SSDT            F7CC4294                                         ZwClose
SSDT            F7CC424E                                         ZwCreateKey
SSDT            F7CC429E                                         ZwCreateSection
SSDT            F7CC4244                                         ZwCreateThread
SSDT            F7CC4253                                         ZwDeleteKey
SSDT            F7CC425D                                         ZwDeleteValueKey
SSDT            F7CC428F                                         ZwDuplicateObject
SSDT            F7CC4262                                         ZwLoadKey
SSDT            F7CC4230                                         ZwOpenProcess
SSDT            F7CC4235                                         ZwOpenThread
SSDT            F7CC426C                                         ZwReplaceKey
SSDT            F7CC4267                                         ZwRestoreKey
SSDT            F7CC42A3                                         ZwSetContextThread
SSDT            F7CC4258                                         ZwSetValueKey
SSDT            F7CC423F                                         ZwTerminateProcess

Code            \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 2.1 ----

?               C:\WINDOWS\system32\Drivers\PROCEXP113.SYS       Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys      Das System kann den angegebenen Pfad nicht finden. !

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                           psdfilter.sys (PSD Filter Driver/HiTRUST)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                         fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                            unknown MBR code

---- EOF - GMER 2.1 ----
         

Teil 2 (MBAR):

Da hier u.U. mehrere Scanns und Neustarts erforderlich werden und es jetzt schon etwas spät ist,
werde ich hier abbrechen und diesen Teil vertagen.

Zusätzlich hoffe ich, wenn ich den Rechner jetzt runterfahre und morgen neu starte,
daß diese penetrante MediaXW-Installation endlich Ruhe gibt.

Auf jeden Fall möchte ich mich für den Support bis hierher schonmal recht herzlich bedanken.

Du brauchst jetzt nicht in jedem in jeden Beitrag so einen Screenshot reinbringen, ich hab schon mitbekommen, dass die das Teil nervt, aber deswegen musst du mich damit nich auch zupflastern

Bitte mach das Log mit MBAR

Hier jetzt das MBAR-Log nach dem ersten Durchlauf:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.13.06

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: ACER-LAPTOP [administrator]

13.05.2013 21:45:29
mbar-log-2013-05-13 (21-45-29).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 28227
Time elapsed: 2 hour(s), 54 minute(s), 41 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKLM\SOFTWARE\Casino Tropez (Adware.Casino) -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Casino Tropez (Adware.Casino) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
c:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\mcafee.ini (Backdoor.Bot) -> Delete on reboot.
c:\Dokumente und Einstellungen\Anwender\Desktop\kjfb.tmp (Trojan.FakeMS) -> Delete on reboot.
c:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Temp\114.jpg (Trojan.Clicker) -> Delete on reboot.

(end)
         

Aktuelle Beobachtungen:

* Der Rechner läuft aktuell sehr langsam und träge.
Angefangen gestern Nacht beim Runterfahren.
Dann heute beim Hochfahren und jetzt auch wieder nach dem Neustart nach MBAR.
(Der erste MBAR-Scan ist jetzt fast 3 Stunden gelaufen)

Ich habe mal nach dem Windows-Start den Task-Monitor aktiviert, ohne daß eine Anwendung
gelaufen ist, war der Rechner zu ca. 50% ausgelastet.

* Wenn ich einen Ordner im Explorer anklicke, nervt MediaXW immer noch.

Da der Scan mit MBAR so lange dauert, mache ich den zweiten Durchlauf morgen.