BKA Trojaner weißer Desktop
 

Hallo,

leider bin ich dem BKA Trojaner auf den Leim gegangen. Meine PC-Fähigkeiten sind überschaubar, daher bitte ich bei fehlender fachlicher Ausdrucksweise um Nachsicht.

Ich habe nach dem Anmelden bzw. der Passwort eingabe einen weißen Desktop und kann kein Taskmanager oder sonstiges aufrufen.

Ich habe bisher 2 recherchierte Ansätze zur Behebung des Problems versucht.
1. die HitmanPro-Software,
2. die OTL.exe,
beide habe ich versucht durch die Eingabeaufforderung zu starten.

Leider ohne durschlagenden Erfolg.
Bei 1. kann ich den Scan, aufgrund der fehlenden Internetverbindung, nicht starten.
Bei 2. erscheint nach meiner Eingabe: "Das zum Unterstützen des Abbildtyps erforderliche Subsystem ist nicht vorhanden."


Vielleicht liegt der Fehler ja bei mir und es besteht Grund zur Hoffnung.
Hoffentlich findet sich jemand der mir einen Tipp geben kann. Schoneinmal vorab besten Dank für eure/deine Zeit.

Gruß

Ben

Hi Ben,

welches Betriebssystem ist das? XP, Vista, 7? Ist es ein 32-bit oder 64-bit System?

Ups das habe ich ganz vergessen, sorry.

Es handelt sich um Windows 7 und müsste 64-bit System sein, wobei ich mir nicht 100% sicher bin.

Ok, dann versuch mal das:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 64-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager

• Starte den Rechner neu auf.
• Während des Hochfahrens drücke mehrmals die F8 Taste.
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und boote von der CD.
• Wähle die Spracheinstellungen und klicke Weiter.
• Klicke auf Computerreparaturoptionen.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

• Gib nun bitte notepad ein und drücke Enter.
  • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
  • Lese nun hier den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
  • Schliesse Notepad wieder.
• Gib nun bitte folgenden Befehl ein und drücke Enter:

  e:\frst64.exe

  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
• Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:

• Log von FRST

Ok, hier Inhalt.

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 11-04-2013
Ran by SYSTEM at 13-04-2013 14:02:09
Running from G:\
Windows 7 Home Premium (X64) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation)
HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [508472 2009-10-09] (Conexant Systems, Inc.)
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [200704 2009-11-20] ()
HKLM\...\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe [295936 2009-05-21] (Alps Electric Co., Ltd.)
HKLM\...\Run: [Acer ePower Management] C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe [823840 2009-09-30] (Acer Incorporated)
HKLM\...\Run: [mwlDaemon] C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe [349480 2009-11-18] (Egis Technology Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "c:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [35696 2009-02-27] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" -h -k [262912 2009-08-20] (NewTech Infosystems, Inc.)
HKLM-x32\...\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED [588648 2009-07-24] (Symantec Corporation)
HKLM-x32\...\Run: [Camera Assistant Software] "C:\Program Files (x86)\Video Web Camera\traybar.exe" [600688 2009-12-03] (Chicony)
HKLM-x32\...\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe [1094736 2009-11-01] (Dritek System Inc.)
HKLM-x32\...\Run: [RemoteControl8] "c:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [91432 2009-04-15] (CyberLink Corp.)
HKLM-x32\...\Run: [PDVD8LanguageShortcut] "c:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe" [50472 2009-04-15] (CyberLink Corp.)
HKLM-x32\...\Run: [EgisUpdate] C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe [200488 2009-10-22] (Egis Technology Inc.)
HKLM-x32\...\Run: [EgisTecPMMUpdate] "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe" 196609 [401192 2009-10-22] (Egis Technology Inc.)
HKLM-x32\...\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [30040 2009-02-26] (Microsoft Corporation)
HKLM-x32\...\Run: [Launch SilverCrest GML807] C:\Program Files (x86)\SilverCrest GML807 Driver\MouClient_FD2_1001RL.exe [862208 2010-09-02] (Siliten)
HKLM-x32\...\Run: [USBestCR] C:\Program Files (x86)\USIM Editor\iconcs2189692.exe RunFromReg [7041024 2010-07-02] ()
HKLM-x32\...\Run: [ClickPotatoLiteSA] "C:\Program Files (x86)\ClickPotatoLite\bin\10.0.659.0\ClickPotatoLiteSA.exe" [742192 2011-01-26] (Pinball Corporation.)
HKLM-x32\...\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard)
HKLM-x32\...\Run: [hpqSRMon] C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard)
HKLM-x32\...\Run: [] [x]
HKLM-x32\...\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" [1219248 2013-04-11] ()
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254696 2012-01-18] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [AVG_UI] "C:\Program Files (x86)\AVG\AVG2013\avgui.exe" /TRAYONLY [4394032 2013-03-13] (AVG Technologies CZ, s.r.o.)
HKU\Benjasmin\...\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount [33120 2009-11-15] (Alcohol Soft Development Team)
HKU\Benjasmin\...\Run: [Facebook Update] "C:\Users\Benjasmin\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver [138096 2012-07-15] (Facebook Inc.)
HKU\Benjasmin\...\Winlogon: [Shell] explorer.exe,C:\Users\Benjasmin\AppData\Roaming\skype.dat [94208 2011-11-16] ()
HKU\Default\...\RunOnce: [ScrSav] C:\Windows\Screensavers\PackardBell\run_PackardBel [x]
HKU\Default User\...\RunOnce: [ScrSav] C:\Windows\Screensavers\PackardBell\run_PackardBel [x]
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\$Recycle.Bin\S-1-5-18\$5dea2983d24ea7233ddf5eb48bd3a915\n. ATTENTION! ====> ZeroAccess
Tcpip\..\Interfaces\{A9BA50EF-97C8-4C30-AF96-1E571E0DB1CE}: [NameServer]208.67.222.222 208.67.220.220
Startup: C:\ProgramData\Start Menu\Programs\Startup\DL-10.lnk
ShortcutTarget: DL-10.lnk -> C:\Program Files (x86)\DC Software\DL10XP.exe ()
Startup: C:\ProgramData\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
ShortcutTarget: HP Digital Imaging Monitor.lnk -> C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Microsoft Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Philips Device Manager.lnk
ShortcutTarget: Philips Device Manager.lnk -> C:\Philips\SA32xx Device Manager\SA32xx_DeviceManager.exe (Philips)
Startup: C:\Users\Benjasmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.34811057727011485.exe.lnk
ShortcutTarget: 0.34811057727011485.exe.lnk -> C:\Users\BENJAS~1\AppData\Local\Temp\0.34811057727011485.exe (No File)
Startup: C:\Users\Benjasmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LimeWire On Startup.lnk
ShortcutTarget: LimeWire On Startup.lnk -> C:\Program Files (x86)\LimeWire\LimeWire.exe (Lime Wire, LLC)
Startup: C:\Users\Benjasmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
ShortcutTarget: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk -> C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

==================== Services (Whitelisted) ===================

2 AVGIDSAgent; "C:\Program Files (x86)\AVG\AVG2013\avgidsagent.exe" [4937264 2013-02-27] (AVG Technologies CZ, s.r.o.)
2 avgwd; "C:\Program Files (x86)\AVG\AVG2013\avgwdsvc.exe" [282624 2013-02-18] (AVG Technologies CZ, s.r.o.)
3 DfSdkS; "C:\Program Files (x86)\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe" [544768 2009-08-24] (mst software GmbH, Germany)
2 ePowerSvc; C:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [844320 2009-09-30] (Acer Incorporated)
2 FreemakeVideoCapture; "C:\Program Files (x86)\Freemake\CaptureLib\CaptureLibService.exe" [9216 2013-02-25] (Ellora Assets Corp.)
2 Greg_Service; C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe [1150496 2009-08-28] (Acer Incorporated)
2 MWLService; C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\MWLService.exe [305448 2009-11-18] (Egis Technology Inc.)
2 NTI IScheduleSvc; C:\Program Files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [62720 2009-08-20] (NewTech Infosystems, Inc.)
2 OberonGameConsoleService; "C:\Program Files (x86)\Packard Bell GameZone\GameConsole\OberonGameConsoleService.exe" [44312 2009-08-28] ()
2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [66872 2010-01-26] ()
2 Updater Service; C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe [240160 2009-07-03] (Acer)
2 vToolbarUpdater15.0.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.0.0\ToolbarUpdater.exe [990896 2013-04-11] ()
2 AfaService; C:\Windows\system32\afasrv64.exe [x]
2 Application Updater; "C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe" [x]
3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG9\Toolbar\ToolbarBroker.exe [x]

==================== Drivers (Whitelisted) =====================

1 AVGIDSDriver; C:\Windows\System32\DRIVERS\avgidsdrivera.sys [246072 2013-02-26] (AVG Technologies CZ, s.r.o.)
0 AVGIDSHA; C:\Windows\System32\Drivers\AVGIDSHA.sys [71480 2013-02-07] (AVG Technologies CZ, s.r.o.)
1 Avgldx64; C:\Windows\System32\Drivers\Avgldx64.sys [206136 2013-02-07] (AVG Technologies CZ, s.r.o.)
0 Avgloga; C:\Windows\System32\Drivers\Avgloga.sys [311096 2013-02-07] (AVG Technologies CZ, s.r.o.)
0 Avgmfx64; C:\Windows\System32\Drivers\Avgmfx64.sys [116536 2013-02-07] (AVG Technologies CZ, s.r.o.)
0 Avgrkx64; C:\Windows\System32\Drivers\Avgrkx64.sys [45880 2013-02-07] (AVG Technologies CZ, s.r.o.)
1 Avgtdia; C:\Windows\System32\Drivers\Avgtdia.sys [239416 2013-02-13] (AVG Technologies CZ, s.r.o.)
1 avgtp; \??\C:\Windows\system32\drivers\avgtpx64.sys [39768 2013-04-11] (AVG Technologies)
3 InputFilter_Hid_FlexDef2c; C:\Windows\System32\DRIVERS\InputFilter_FlexDef2c.sys [19968 2010-08-06] (Siliten)
3 MHIKEY10; C:\Windows\System32\Drivers\MHIKEY10x64.sys [59392 2010-04-09] (Generic USB smartcard reader)
2 npf; C:\Windows\System32\Drivers\npf.sys [35344 2011-02-11] (CACE Technologies, Inc.)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-03-08] (Duplex Secure Ltd.)
3 SWDUMon; C:\Windows\System32\Drivers\SWDUMon.sys [15672 2013-04-13] ()
3 usbbus; C:\Windows\System32\DRIVERS\lgx64bus.sys [16896 2007-07-11] (LG Electronics Inc.)
3 UsbDiag; C:\Windows\System32\DRIVERS\lgx64diag.sys [27136 2007-07-11] (LG Electronics Inc.)
3 USBModem; C:\Windows\System32\DRIVERS\lgx64modem.sys [29696 2007-07-11] (LG Electronics Inc.)
3 RtsUIR; C:\Windows\System32\DRIVERS\Rts516xIR.sys [x]
0 sr; [x]
3 USBCCID; C:\Windows\System32\DRIVERS\RtsUCcid.sys [x]

==================== NetSvcs (Whitelisted) ====================


==================== One Month Created Files and Folders ========

2013-04-13 14:01 - 2013-04-13 14:01 - 00000000 ____D C:\FRST
2013-04-12 14:08 - 2013-04-13 03:59 - 00000004 ____A C:\Users\Benjasmin\AppData\Roaming\skype.ini
2013-04-12 08:49 - 2013-04-12 08:49 - 00657030 ____N C:\Windows\Minidump\041213-56612-01.dmp
2013-04-12 00:40 - 2013-04-12 00:40 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\LumacDaemon
2013-04-12 00:40 - 2013-04-12 00:40 - 00000000 ____D C:\Users\Benjasmin\AppData\Local\Firstload
2013-04-12 00:39 - 2013-04-12 00:39 - 00000000 ____D C:\Program Files (x86)\Lumac
2013-04-11 22:40 - 2013-04-11 22:40 - 00000953 ____A C:\Users\Public\Desktop\AVG 2013.lnk
2013-04-11 22:40 - 2013-04-11 22:40 - 00000000 ____D C:\Program Files (x86)\AVG Secure Search
2013-04-10 13:27 - 2013-04-12 11:40 - 00000000 ____D C:\Users\Benjasmin\dwhelper
2013-04-10 13:16 - 2013-04-10 13:16 - 01291144 ____A (Conduit) C:\Users\Benjasmin\Downloads\FileConverter_1.3(1).exe
2013-04-10 13:13 - 2013-04-10 13:13 - 01291144 ____A (Conduit) C:\Users\Benjasmin\Downloads\FileConverter_1.3.exe
2013-04-10 13:04 - 2013-04-10 13:04 - 00767041 ____A C:\Users\Benjasmin\Downloads\video_downloadhelper-4.9.14-fx_sm.zip
2013-04-10 08:46 - 2013-04-10 08:46 - 00000791 ____A C:\Users\Benjasmin\Documents\ant2.txt
2013-04-09 03:31 - 2013-04-13 03:57 - 00002128 ____A C:\Windows\setupact.log
2013-04-09 03:31 - 2013-04-09 03:31 - 00000000 ____A C:\Windows\setuperr.log
2013-04-07 04:42 - 2013-04-07 04:42 - 00391689 ____N C:\Windows\Minidump\040713-46067-01.dmp
2013-04-01 00:35 - 2013-04-01 00:36 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Umox
2013-04-01 00:35 - 2013-04-01 00:36 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Apoz
2013-04-01 00:35 - 2013-04-01 00:35 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Ocbyo
2013-03-27 12:57 - 2013-03-28 10:04 - 00000670 ____A C:\Users\Benjasmin\Documents\ant.txt
2013-03-26 14:43 - 2013-03-26 14:43 - 00371816 ____N C:\Windows\Minidump\032613-46862-01.dmp
2013-03-25 23:49 - 2013-04-12 08:38 - 00027054 ____A C:\Users\Benjasmin\Documents\Statistik.xlsx
2013-03-25 23:49 - 2013-03-25 23:49 - 00000165 ___AH C:\Users\Benjasmin\Documents\~$ Statistik.xlsx
2013-03-19 16:02 - 2013-03-19 16:07 - 00450664 ____N C:\Windows\Minidump\032013-49686-01.dmp
2013-03-16 17:46 - 2013-03-16 17:46 - 00467187 ____N C:\Windows\Minidump\031713-55115-01.dmp
2013-03-15 10:06 - 2013-03-18 10:51 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\WinHost

==================== One Month Modified Files and Folders =======

2013-04-13 14:01 - 2013-04-13 14:01 - 00000000 ____D C:\FRST
2013-04-13 03:59 - 2013-04-12 14:08 - 00000004 ____A C:\Users\Benjasmin\AppData\Roaming\skype.ini
2013-04-13 03:58 - 2011-12-15 23:49 - 00015672 ____A C:\Windows\System32\Drivers\SWDUMon.sys
2013-04-13 03:57 - 2013-04-09 03:31 - 00002128 ____A C:\Windows\setupact.log
2013-04-13 03:57 - 2011-12-15 23:49 - 00000418 ____A C:\Windows\Tasks\SlimDrivers Startup.job
2013-04-13 03:57 - 2010-06-06 06:04 - 00001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-04-13 03:57 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-12 14:25 - 2010-06-27 07:06 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\LimeWire
2013-04-12 14:17 - 2012-03-24 05:14 - 01348161 ____A C:\Windows\WindowsUpdate.log
2013-04-12 14:17 - 2009-07-13 20:45 - 00017600 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-04-12 14:17 - 2009-07-13 20:45 - 00017600 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-04-12 13:39 - 2010-06-06 06:04 - 00001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-04-12 11:40 - 2013-04-10 13:27 - 00000000 ____D C:\Users\Benjasmin\dwhelper
2013-04-12 11:17 - 2010-11-16 02:17 - 00000000 ____D C:\ProgramData\MFAData
2013-04-12 11:14 - 2011-10-27 23:04 - 00001154 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2259796694-2473700428-155409205-1000UA.job
2013-04-12 10:15 - 2011-04-10 10:53 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\vlc
2013-04-12 10:07 - 2010-04-21 09:08 - 00000000 ____D C:\Windows\Minidump
2013-04-12 08:49 - 2013-04-12 08:49 - 00657030 ____N C:\Windows\Minidump\041213-56612-01.dmp
2013-04-12 08:38 - 2013-03-25 23:49 - 00027054 ____A C:\Users\Benjasmin\Documents\Statistik.xlsx
2013-04-12 08:14 - 2011-10-27 23:04 - 00001132 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2259796694-2473700428-155409205-1000Core.job
2013-04-12 06:48 - 2012-04-01 09:26 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\UseNeXT
2013-04-12 06:46 - 2011-04-09 06:58 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Firstload
2013-04-12 00:40 - 2013-04-12 00:40 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\LumacDaemon
2013-04-12 00:40 - 2013-04-12 00:40 - 00000000 ____D C:\Users\Benjasmin\AppData\Local\Firstload
2013-04-12 00:39 - 2013-04-12 00:39 - 00000000 ____D C:\Program Files (x86)\Lumac
2013-04-12 00:39 - 2009-10-29 21:18 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2013-04-12 00:18 - 2011-04-09 06:58 - 00000000 ____D C:\Users\Benjasmin\Documents\Firstload
2013-04-12 00:18 - 2011-04-09 06:58 - 00000000 ____D C:\Program Files (x86)\Firstload
2013-04-11 22:40 - 2013-04-11 22:40 - 00000953 ____A C:\Users\Public\Desktop\AVG 2013.lnk
2013-04-11 22:40 - 2013-04-11 22:40 - 00000000 ____D C:\Program Files (x86)\AVG Secure Search
2013-04-11 22:40 - 2012-07-27 03:08 - 00039768 ____A (AVG Technologies) C:\Windows\System32\Drivers\avgtpx64.sys
2013-04-10 13:27 - 2010-01-22 08:17 - 00000000 ____D C:\users\Benjasmin
2013-04-10 13:16 - 2013-04-10 13:16 - 01291144 ____A (Conduit) C:\Users\Benjasmin\Downloads\FileConverter_1.3(1).exe
2013-04-10 13:13 - 2013-04-10 13:13 - 01291144 ____A (Conduit) C:\Users\Benjasmin\Downloads\FileConverter_1.3.exe
2013-04-10 13:04 - 2013-04-10 13:04 - 00767041 ____A C:\Users\Benjasmin\Downloads\video_downloadhelper-4.9.14-fx_sm.zip
2013-04-10 11:45 - 2010-02-08 10:45 - 00030922 ____A C:\Users\Benjasmin\AppData\Roaming\wklnhst.dat
2013-04-10 10:34 - 2013-03-12 07:23 - 00000000 ____D C:\Users\Benjasmin\Documents\Freemake
2013-04-10 08:46 - 2013-04-10 08:46 - 00000791 ____A C:\Users\Benjasmin\Documents\ant2.txt
2013-04-09 08:24 - 2012-08-23 05:06 - 00000000 ____D C:\Users\Benjasmin\Desktop\Kamera
2013-04-09 08:24 - 2009-12-16 02:45 - 03867774 ____A C:\Windows\System32\perfh007.dat
2013-04-09 08:24 - 2009-12-16 02:45 - 01158962 ____A C:\Windows\System32\perfc007.dat
2013-04-09 08:24 - 2009-07-13 21:13 - 00005390 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-09 03:31 - 2013-04-09 03:31 - 00000000 ____A C:\Windows\setuperr.log
2013-04-09 00:24 - 2010-04-03 02:16 - 03298304 __ASH C:\Users\Benjasmin\Desktop\Thumbs.db
2013-04-08 13:45 - 2011-11-22 09:11 - 00000000 ____D C:\Users\Benjasmin\Desktop\Wirtschaftsakademie
2013-04-07 04:42 - 2013-04-07 04:42 - 00391689 ____N C:\Windows\Minidump\040713-46067-01.dmp
2013-04-01 00:36 - 2013-04-01 00:35 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Umox
2013-04-01 00:36 - 2013-04-01 00:35 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Apoz
2013-04-01 00:35 - 2013-04-01 00:35 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\Ocbyo
2013-03-28 10:04 - 2013-03-27 12:57 - 00000670 ____A C:\Users\Benjasmin\Documents\ant.txt
2013-03-26 14:43 - 2013-03-26 14:43 - 00371816 ____N C:\Windows\Minidump\032613-46862-01.dmp
2013-03-25 23:49 - 2013-03-25 23:49 - 00000165 ___AH C:\Users\Benjasmin\Documents\~$Statistik.xlsx
2013-03-24 14:57 - 2011-11-11 06:09 - 00000000 ____D C:\Users\Benjasmin\Documents\Digital Camera
2013-03-19 16:07 - 2013-03-19 16:02 - 00450664 ____N C:\Windows\Minidump\032013-49686-01.dmp
2013-03-19 07:04 - 2009-07-13 21:08 - 00032632 ____A C:\Windows\Tasks\SCHEDLGU.TXT
2013-03-18 13:00 - 2012-06-14 11:26 - 00000000 ____D C:\Program Files (x86)\KaloMa
2013-03-18 10:51 - 2013-03-15 10:06 - 00000000 ____D C:\Users\Benjasmin\AppData\Roaming\WinHost
2013-03-16 17:46 - 2013-03-16 17:46 - 00467187 ____N C:\Windows\Minidump\031713-55115-01.dmp
2013-03-15 17:41 - 2012-06-17 01:26 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox


ZeroAccess:
C:\$Recycle.Bin\S-1-5-21-2259796694-2473700428-155409205-1000\$5dea2983d24ea7233ddf5eb48bd3a915

ZeroAccess:
C:\$Recycle.Bin\S-1-5-18\$5dea2983d24ea7233ddf5eb48bd3a915

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================


==================== Memory info ===========================

Percentage of memory in use: 17%
Total physical RAM: 4090.93 MB
Available physical RAM: 3378.91 MB
Total Pagefile: 4089.08 MB
Available Pagefile: 3369.99 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

==================== Partitions =============================

1 Drive c: (Packard Bell) (Fixed) (Total:453.94 GB) (Free:262.86 GB) NTFS
2 Drive e: (PQSERVICE) (Fixed) (Total:11.72 GB) (Free:2.29 GB) NTFS
4 Drive g: (HITMANPRO) (Removable) (Total:0.96 GB) (Free:0.94 GB) FAT32
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 465 GB 0 B
Datentr„ger 1 Online 995 MB 0 B

Partitions of Disk 0:
===============

Datentr„ger-ID: 1A171A17

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Wiederherstellun 11 GB 1024 KB
Partition 2 Prim„r 100 MB 11 GB
Partition 3 Prim„r 453 GB 11 GB

==================================================================================

Disk: 0
Partition 1
Typ : 27
Versteckt: Ja
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E PQSERVICE NTFS Partition 11 GB Fehlerfre Versteck

=========================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y SYSTEM RESE NTFS Partition 100 MB Fehlerfre

=========================================================

Disk: 0
Partition 3
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C Packard Bel NTFS Partition 453 GB Fehlerfre

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: D7CF5A1B

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 988 MB 31 KB

==================================================================================

Disk: 1
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 G HITMANPRO FAT32 Wechselmed 988 MB Fehlerfre

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 1A171A17

Partition 1:
=========
Hex: 0020210027FEFFFF0008000000007701
Active: NO
Type: 27
Size: 12 GB

Partition 2:
=========
Hex: 80FEFFFF07FEFFFF0008770100200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 3:
=========
Hex: 00FEFFFF07FEFFFF00287A013030BE38
Active: NO
Type: 07 (NTFS)
Size: 454 GB

==============================
Partitions of Disk 1:
===============
Disk ID: D7CF5A1B

Partition 1:
=========
Hex: 800101000BFE3F7D3F000000FEE21E00
Active: YES
Type: 0B
Size: 988 MB


Last Boot: 2013-04-09 08:59

==================== End Of Log =============================

Also: Schritt 1 entsperrt den Rechner, so dass du danach wieder normal nach Windows starten und die weiteren Schritte dort ausführen kannst.
Wir sollten auch unbedingt noch weitermachen, denn da ist noch anderes drauf, unter anderem das ZeroAccess-Rootkit.


Schritt 1

Drücke auf einem Zweitrechner bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:
Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.

• Schliesse den USB Stick wieder an den infizierten Rechner an.
• Starte deinen Rechner erneut in die Reparaturoptionen.
• Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.

Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.



Wieder im normalen Modus:

Schritt 2

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 3

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 4

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von FRST
• Log von Gmer
• Logs von OTL

Ich bin wirklich begeistert, ich kann meinen PC wieder normal starten. Danke schoneinmal für diese Hilfe!

Leider konnte Schritt 3 nicht beenden. Gmer hat meinen PC ca. 1 Stunde gescannt nach dem Save drücken gab es ein Problem beim "speichern unter" Menü ich weiß nicht ob es am aktuellen Virus liegt oder allgemein an meinem PC denn das passiert öfter einmal wenn man speichern will.

Hier die original Meldung
"gmer.exe funktioniert nicht mehr

Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist."

Soll ich das Programm nocheinmal durchlaufen lassen?

Hier noch der Inhalt der Fixlog



Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-04-2013
Ran by SYSTEM at 2013-04-13 17:26:42 Run:1
Running from G:\

==============================================

HKEY_USERS\Benjasmin\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
C:\Users\Benjasmin\AppData\Roaming\skype.dat moved successfully.
C:\Users\Benjasmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0.34811057727011485.exe.lnk moved successfully.
C:\Users\BENJAS~1\AppData\Local\Temp\0.34811057727011485.exe not found.
C:\Users\Benjasmin\AppData\Roaming\skype.ini moved successfully.

==== End of Fixlog ====

Hi,

Gmer kann schon mal rumzicken, das ist nicht aussergewöhnlich. ;)
Überspring das und mach mit OTL (Schritt 4) weiter.

Hallo Leo,

ich habe Gmer nocheinmal ein 2. mal versucht aber mit dem selben Problem.

Mal rein interessehalber, was machen diese Programme eigentlich? Suchen diese speziell nach diesem Trojaner oder allgemein nach jeglicher Schadsoftware?

Hier die Logs von OTL

OTL.txtOTL Logfile:
--- --- ---



Extras.txtOTL Logfile:
--- --- ---

Hi,

Diese Programme suchen überhaupt nicht speziell nach Schadsoftware. Sie listen (unter anderem) verschiedene Bereiche auf, wo sich Malware eintragen muss, um immer mitstarten zu können. Ich schau das dann durch und suche nach den Malwareeinträgen..
Zu den Programmen, die direkt nach Schadsoftware suchen, kommen wir dann später noch.


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von OTL

Das ist sehr gut.

Ich habe Combofix laufen lassen. Der PC hat sich auch von allein neugestartet. Ich bin mir jetzt nicht sicher ob es korrekt durchgelaufen ist, denn es gab folgende Meldung welche ca. 10-15min dort stand ohne das etwas weiter ging.


Ich weiß nicht ob mein Virenprogramm das Problem war. Ich benutze AVG 2013 als kostenlose Version. Diese ist nur vorrübergehend zu deaktivieren. D.h. für 15min oder bis zum nächsten Neustart.
Oder es war mein Fehler da ich zu spät das Programm deaktiviert habe sodsas mir Combofix die Fehlermeldung angezeigt hat AVG zu deaktivieren.

Sollte ich es nochmal durchaufen lassen? Oder mit Schritt 3 fortfahren?


AdwCleaner Logfile:
--- --- ---





Combofix Logfile:
--- --- ---

Ja, bitte mit Schritt 3 fortfahren.

Bei mir ist von dir folgender, von dir vorher beschriebener, Fall eingetreten.


Nach dem Neustart kam diese Meldung, die sonst nicht vorkommt (Anhang).

Ist dies irgendwie zu berücksichtigen?

Anhang

Wenn das ein Programm ist, welches du kennst und nutzt, dann ist alles ok. Combofix wird etwas in der Firewall zurückgesetzt haben.

Okay ich hab den OTL Quick Scan ausgeführt.OTL Logfile:
--- --- ---

Hi,

gut, jetzt noch 2 Signaturenscanner.
Wie läuft der Rechner?





Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware.

• Installiere das Programm in den vorgegebenen Pfad.
• Starte nun Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Downloade dir bitte SecurityCheck (Link 1, Link 2).

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.



Schritt 5

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log von SecurityCheck
• Log von OTL

Grüß dich Leo,

Ich habe noch nicht soviel mit dem betroffenem Rechner gearbeitet aber mir ist aufgefallen das er keine Verbindung mehr mit dem W-LAN herstellen kann. In der Fehlermeldung heißt es "Die Konnektivität... ist derzeit eingeschränkt".

Kann das durch eines der Programme passiert sein oder hat das eventuell mit der Meldung zutun die ich als Anhang geshickt hatte?

Der Pc hat bestimmt 10min lang im Schritt "Abmelden" festgehangen. Ich habe ihn, weil nichts mehr passiert ist, kurz vom Strom getrennt, was wahrscheinlich allgemein schon nicht gut ist. Eine Log Datei gibt es trotzdem.

Sollte ich den Schritt aufgrund dessen nocheinmal wiederholen oder wie beschrieben fortfahren?

All processes killed
========== OTL ==========
C:\Users\Benjasmin\AppData\Roaming\Umox folder moved successfully.
C:\Users\Benjasmin\AppData\Roaming\Ocbyo folder moved successfully.
C:\Users\Benjasmin\AppData\Roaming\Apoz folder moved successfully.
ADS C:\ProgramData\Temp:AB689DEA deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Benjasmin
->Temp folder emptied: 11962 bytes
->Temporary Internet Files folder emptied: 4656482 bytes
->Java cache emptied: 15100340 bytes
->FireFox cache emptied: 556974684 bytes
->Flash cache emptied: 11185 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 29249 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36045869 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 584,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 04152013_173659

Files\Folders moved on Reboot...
C:\Users\Benjasmin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Hallo,

Du kannst mit dem nächsten Schritt fortfahren.
Das andere Problem können zum Schluss angehen, wenn das Thema "Malware" ganz abgeschlossen ist, ok?

Das ist ok. Ich wollte keine Schritte vorziehen oder so.

Aber wenn ich das richtig sehen braucht man für Schritt 3 also den ESET Online Scanners eine Internetverbing oder?


Gruß

Benjamin

Hallo Benjamin,

Ja, das ist korrekt. Du kommst also auch per LAN-Kabel nicht mehr ins Internet (oder hast diese Möglichkeit nicht)?

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Hallo Leo,

Ich hoffe das hast du noch nicht ! ;)

Ich bräuchte durchaus noch weiter deine Hilfe und würde auch dankbar sein diese zu erhalten. Dummerweise bin ich seit deinem letzten Tipp noch nicht weiter, ich habe dein Tipp versucht mit dem LAN Kabel ins Internet zu gelangen.
Zu gegeben das hört sich jetzt dumm an, aber seit wir unsere Fritzbox auf eine WLAN variante gewechselt haben war ich nicht mehr per LAN Kabel drin und die Zugangsdaten der Breitbandverbindung sind nicht gespeichert und ich weiß sie nicht mehr wo sie stehen.Daher der Stillstand.

Könnte man den Schritt mit dem ESET Scanner theoretisch überspringe oder würde das zuviel der Malware "unberührt" lassen?

Gruß

Benjamin

Ok, dann überspring diesen Schritt mal.

Hallo Leo,

die Log vom ersten Schritt hatte ich ja schon gepostet, hier nun Schritt 2, 4 & 5.

Malwarebytes Anti-Malware 1.75.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Benjasmin :: BENJAMIN-PC [Administrator]

15.04.2013 18:39:24
MBAM-log-2013-04-15 (19-12-44).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 226869
Laufzeit: 6 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Benjasmin\Favorites\FREE.JP.URL (Rogue.Link) -> Keine Aktion durchgeführt.
C:\EXTRACTED\password.txt (Malware.Trace) -> Keine Aktion durchgeführt.

(Ende)




Results of screen317's Security Check version 0.99.62
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
AVG AntiVirus Free Edition 2013
Antivirus out of date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.75.0.1300
CCleaner (remove only)
Java(TM) 6 Update 32
Java version out of Date!
Adobe Flash Player 10 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of Date!
Mozilla Firefox 15.0.1 Firefox out of Date!
````````Process Check: objlist.exe by Laurent````````
AVG avgwdsvc.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````



OTL Logfile:
--- --- ---




Gruß

Benjamin

Downloade dir bitte Farbars Service Scanner und speichere es auf den Desktop.

• Starte das Tool mit Doppelklick auf FSS.exe.
• Gehe sicher, dass folgende Optionen angehakt sind:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
  • Other Services
• Klicke auf Scan.
• Wenn das Tool fertig ist, wird es eine FSS.txt auf dem Desktop erstellen.

Poste bitte dessen Inhalt hier.

Guten Abend,


hier der FSS Log.


Farbar Service Scanner Version: 14-04-2013
Ran by Benjasmin (administrator) on 25-04-2013 at 22:23:04
Running from "C:\Users\Benjasmin\Desktop"
Windows 7 Home Premium Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============
Dhcp Service is not running. Checking service configuration:
The start type of Dhcp service is OK.
The ImagePath of Dhcp service is OK.
The ServiceDll of Dhcp service is OK.

afd Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open afd registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open afd registry key. The service key does not exist.
Checking LEGACY_afd: ATTENTION!=====> Unable to open LEGACY_afd\0000 registry key. The key does not exist.


Connection Status:
==============
Localhost is accessible.
LAN connected.
Attempt to access Google IP returned error.
Attempt to access Google.com returned error: Other errors
Attempt to access Yahoo IP returned error.
Attempt to access Yahoo.com returned error: Other errors


Windows Firewall:
=============

Firewall Disabled Policy:
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Disabled Policy:
========================


Action Center:
============

Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is OK.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.

BITS Service is not running. Checking service configuration:
The start type of BITS service is set to Demand. The default start type is Auto.
The ImagePath of BITS service is OK.
The ServiceDll of BITS service is OK.


Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is set to Demand. The default start type is Auto.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys
[2012-02-18 23:13] - [2013-04-14 21:35] - 0079672 ____A (AVG Technologies CZ, s.r.o.) 044333531FF88AE5C80C981A33649396

ATTENTION!=====> C:\Windows\System32\drivers\afd.sys IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\ipnathlp.dll => MD5 is legit
C:\Windows\System32\iphlpsvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit


**** End of log ****





Gruß

Benjamin

Hallo Benjamin,

da passt etwas anscheinend noch nicht so ganz...
Mal schauen, was für eine Version des Treibers uns hier aufgetischt (oder vorgegaukelt) wird..


Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Wählen Sie eine.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code:

  ---

  C:\Windows\System32\drivers\afd.sys

  ---

  und klicke auf Öffnen.
• Klicke auf Scannen!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  Datei wurde bereits analysiert - Diese Datei wurde bereits von VirusTotal analysiert am ...

  dann klicke auf Neu analysieren.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

Gut das werde ich machen.

Bitte wunder dich nicht falls ich etwas länger zum antworten brauche, ich muss erstmal nach meinen Zugangsdaten über LAN fahnden.


Gruß

Benjamin

Ok, alles klar.

Moment mal, das wird wohl eher nicht klappen... Da ist ja sowieso was verbogen.
Kannst du bitte die oben erwähnte Datei auf einen USB-Stick kopieren und dann über einen Zweitrechner bei Virustotal auswerten lassen?

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.