Trojaner-Board - Hackingopfer? Trojaner Bundespolizei

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hackingopfer? Trojaner Bundespolizei (https://www.trojaner-board.de/100898-hackingopfer-trojaner-bundespolizei.html)

Hackingopfer? Trojaner Bundespolizei

Moin moin liebe Foris,
ich bin auf der Suche nach der Lösung meines Problems (Bundespolizei-Virus)auf Euer Forum gestoßen und habe dankenswerterweise schon einige Infos aus Euren Beitragen ziehen können. Ich bin allerdings gezwungen, den Weg des Hilfesuchenden etwas abweichend von Eurer Checkliste bestreiten zu müssen, da ich derzeit nur über meinen Dienstrechner ins Netz gehen kann - und da sind Downloads jedweder Art nicht möglich. Am Wochenende hatten unsere Kinder (6, 9, 12 und 14) erstmals "sturmfreie Bude". Die ältesten beiden sind Mädchen, die sich dann zur Unterstützung noch zwei Freundinnen eingeladen hatten. Was machen also Teenies in dem Alter wenn die kleinen Brüder im Bett sind? Youtube und Facebook, was das Zeug hält. Wir haben einen Rechner (Windows XP Prof, Media Edition, SP 3, Avira IS prof.), bei dem ich mit Laienhaftem (!) Wissen versucht habe, das Onlineverhalten unserer Kinder maßgeblich zu begleiten und zu steuern. Warum diese ganze Einleitung:
Dieser Rechner ist nur für die Kinder und familiäre Nutzung gedacht. Am Sonntag wollte ich dann via MS Outlook Mails abrufen und stellte fest, dass der Rechner noch lief. Soweit so nicht schlimm, dachte ich - bis ich feststellte, dass im Mozilla Firefox 8 Tabs geöffnet waren: 2x youtube, 1x ebay und 5x (!!) die Startseite für die Konfiguration unseres Telekom Routers Speedport 702. Ich habe dann eine nach der anderen geschlossen, bemerkte noch ein weiteres Popup, welches ich aber auch sofort weg xte und dann meldete Avira Professional eine Anwendung, die eine Verbindung zum Internet aufbauen wollte - wie sie hieß weiß ich nicht mehr, aber ich habe den Vorgang abgewiesen und kurz darauf wurde der Bildschirm weiß und es erschien die schon mehrfach beschriebene Sperre durch die angebliche Bundespolizei. Am kommenden Wochenende bekomme ich für meine Belange ein neues Laptop. Da könnte ich dann entsprechende Programme/Maßnahmen herunterladen, aber ich sehe diesen ganzen ominösen Vorgang mit einer gewissen Sorge. Kann es sein, dass sich da jemand unserer Netzwerkverbindungen bemächtigt hat? Sollte ich dann mit dem Laptop überhaupt bei uns ans Netz gehen? Ach ja, vielleicht wichtig: Die Seiten waren alle auf meiner Benutzerplattform geöffnet (Admin) und die Mädels haben Stein und Bein geschworen weder auf meiner Plattform, noch bei ebay und noch viel weniger auf der Speedport Konfigurationsseite gewesen zu sein. Ich habe nie ein Paßwort für meine Plattform eingegeben, jetzt wird aber eines eingefordert.
Meine bisherigen Versuche/Maßnahmen:
Rechner sofort ausgestellt, Lan-Kabel gezogen
- Booten via Rescue CD von Kaspersky IS 2012: findet keine Infektion
- Booten via Windows CD funktioniert nicht
- Booten via abgesicherter Modus: BP-Bildschirm
Meine älteste Tochter hatte ihre Plattform Kennwortgeschützt. Hier können wir noch hochfahren, es sind allerdings keine Desktop-Elemente vorhanden. Über ctrl/ask/delete kommen wir dort noch in das W.-Task Menu, allerdings hat unser Mädel keine Admin-Rechte. Ich kann also letztlich nichts machen. Einzig Avira konnten wir scannen lassen, jedoch ebenfalls ohne Ergebnis. Zu meiner Schande muß ich auch gestehen, dass ich seit mind. 1/2 Jahr kaum mehr Systempflege im Sinne der regelmäßigen W.-updates betrieben habe. Es wird also offensichtlich genügend große Lücken gegeben haben :stirn:.
Vielleicht habt ihr ja noch den einen oder anderen hilfreichen Vorschlag, vor allem ob ich jetzt noch dringend weitere Maßnahmen ergreifen sollte. Es sind zwar keinerlei Kennworte irgendwo abgespeichert, aber gewisse Sorgen mache ich mir jetzt schon. Besten Dank jedenfalls schon einmal dafür, dass sich jemand diesen ganzen Aufsatz durchliest:crazy:. Schöne Grüße von Rudi

Boote den Rechner über eine OTLPE-CD.
In Zukunft solltest du darauf achten, dass keiner mehr Adminrechte hat, ein separates Konto für Administrationszwecke erstellt wird und auch nur dieses genutzt wird um zB Programme zu installieren. Sonst nimmst du jedem die Adminrechte weg! Und natürlich muss darauf geachtet werden, dass kritische Applikationen wie Flash Player, PDF-Reader und Browser sowie Windows selbst aktuell sind. Solche Maßnahmen kann man nicht durch einen Virenscanner ersetzen.

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Arne,
vielen Dank für die schnelle Antwort. Deinen Vorschlag mit dem otlpe scan hatte ich mir schon aus Deinen früheren Antworten zum gleichen Thema notiert (da war ich ja brav und habe vor der Themeneröffnung recherchiert ;) ) und werde sie zeitnächst so umsetzen (ich hoffe ich kriege das alles so hin, aber ihr habt ja spitzenmäßige Anleitungen hier, die sogar mich guter Hoffnung sein lassen!! Großes Lob erst einmal dafür!!).
Was mich aber so verunsichert ist diese vorgefundene Situation mit den offenen Tabs, insbesondere der fünffach geöffneten Konfigurationsseite für unseren Router. Dass mir meine Tochter die Wahrheit erzählt, davon bin ich 100%ig überzeugt - keine Zweifel! Es war auch niemand sonst an dem Rechner. Somit muß ich doch von einer Fremdnutzung ausgehen? Kann jemand von "irgendwo da draußen" unseren Rechner benutzen? Und wenn ja, kann ich den wieder "aussperren", wenn ich Deinen Anleitungen gefolgt bin und die Kiste gesäubert habe und die ganzen noch fehlenden Updates von Windows aufgespielt habe? Ich hoffe die Fragen sind jetzt nicht zu naiv, aber sie bewegen einen doch, wenn man nicht so viel Ahnung hat.
Beste Grüße,
Rudi

Vllt ist sie einfach zufällig auf den Router gekommen. Ist der per Passwort gesichert? Sag nicht, dass es dieses megaunsichere vordefinierte Passwort ist, sondern ein was du selbst gesetzt hast!

Doch, leider. :wtf: Dass Du das jetzt so fragst macht mich irgendwie nicht wirklich ruhiger...Das einzige was ich in der Konfiguration seinerzeit verändert habe war das W-Lan Passwort. :headbang:

Ich muß jetzt hier leider Schluß machen. Werde versuchen ab ca 21:00 zunächst einmal die oltpe-Geschichte umzusetzen. Bin aber über mein Diensthandy trotzdem in der Lage das Geschehen hier mitzuverfolgen. Herzlichen Dank erst einmal für Deine Zeit bis hierhin!!
Beste Grüße,
Rudi

So, der erste Teil ist geschafft - hoffe ich. Mehr hat es nach dem Scan nicht "ausgespuckt". Ist alles korrekt so?
Gruß, Rudi

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe (Slack Incur)

O3 - HKU\Katharina_ON_C\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O3 - HKU\Katharina_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

O3 - HKU\Rudi_ON_C\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.

[2011/06/26 18:10:21 | 000,163,840 | ---- | C] (Slack Incur) -- C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - gib Bescheid ob dem so ist oder nicht.

So, hier ist die Datei. Der Computer startet nicht von alleine neu. Ich fahr ihn jetzt einmal herunter und melde mich dann nach (hoffentlich erfolgreichem Neustart wieder.

Hier der Inhalt der Log-Datei:
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe deleted successfully.
C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe moved successfully.
Registry value HKEY_USERS\Katharina_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\ not found.
Registry value HKEY_USERS\Katharina_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
Registry value HKEY_USERS\Rudi_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
File C:\Dokumente und Einstellungen\Rudi\Anwendungsdaten\jashla.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.46.0 log created on 07012011_005847

Startet Windows wieder normal?

Hallo Arne,
der Rechner lässt sich leider nicht herunter fahren. Ich gehe auf "shut down", der Desktop verliert die Farbe, ich drücke "ok" und er ist wieder voll da. Soll ich ihn einfach abstellen und dann wieder starten?

WO GENAU bist du? Noch im Betriebssystem der CD oder wo??

Ich bin noch im Betriebssystem der CD. (Reatogo-x-pe)
Gruß, Rudi

hmm, hat sich ganz offensichtlich aufgehängt. Ich lasse ihn sicherheitshalber einfach an und melde mich dann morgen von der Arbeit wieder. Riesiges Dankeschön bis hierher.
Gruß, Rudi

So, Moin moin,
zwischen zwei Visiten kann ich mich jetzt wieder kurz an den Rechner setzen, bin allerdings natürlich nicht an unserem betroffenen PC. Der läuft seit 00:34 mit dem gleichen Desktopbild und reagierte zum Schluss auf kein Symbol der Taskleiste mehr. Die Programme (ich habe noch einmal oltpe gestartet, dann aber natürlich direkt wieder beendet) sind aber aktivierbar.
Gruß, Rudi

Ähm ja, startet Windows jetzt wieder normal von der Festplatte?
Ich bin aus der Beschreibung ein wenig verwirrt, denn du schreibst was von einem anderen nicht betroffenen PC!

Hallo Arne,
das liegt daran, dass ich mich derzeit wieder an meinem Arbeitsplatz (Klinik) befinde ;).
Also: Der betroffene PC steht daheim, er zeigt nach wie vor den Reatogo-x-pe Bildschirm und hat sich offensichtlich aufgehängt. Er reagiert noch auf die Desctop-Icons, aber nicht mehr auf die Symbole in der Taskleiste. Windows kann also nicht normal gestartet werden. Er hatte sich nach der OTLPE-Bereinigung auch nicht automatisch neu gestartet. Darum hatte ich versucht ihn herunter zu fahren. Zu diesem Zweck hatte ich die CD entfernt (falsch?). Als er sich dann nicht runterfahren ließ, habe ich die CD wieder eingelegt und es noch einmal versucht, wieder ohne Erfolg. Die letzte Aktivität war dann der Versuch, mittels des Desktop-Icons in der Task-Leiste mir den Desktop anzeigen zu lassen. Seitdem steht er wie oben beschrieben. Meine letzte Frage an Dich war, ob ich ihn einfach ausstellen soll (Netzteil abschalten). Dass habe ich mich aber nicht getraut und bin dann ins Bett, weil ich heute früh um 07:30 zur Visite in unserer Klinik sein mußte.
Ich bin auch jetzt nur kurz (zwischen zwei Stationen) am PC, bekomme Deine Antworten aber auch via Push-Email auf mein Diensthandy. Um zu schauen, ob Windows wieder normal hochgefahren werden kann müßte ich den Rechner ja erst abstellen. Das könnte ich aber veranlassen, da mein Frauchen daheim ist.
Beste Grüße,
Rudi

Zitat:

er zeigt nach wie vor den Reatogo-x-pe Bildschirm und hat sich offensichtlich aufgehängt. Er reagiert noch auf die Desctop-Icons, aber nicht mehr auf die Symbole in der Taskleiste. Windows kann also nicht normal gestartet werden.

Äh, wenn er nach wie vor den Reatogo zeigt, hört sich das an als wenn du nach dem Fix noch nicht neu gestartet hast. Wieso kommst du dann zu der Aussage, dass "Windows kann also nicht normal gestartet werden" kann? :wtf: :confused:

Du solltest nach dem Fix über OTLPE einfach WIndows normal starten und nicht wieder von der CD booten!!
Und ja, wenn er in Reatogo hängt, kannst du ja einfach nur noch resetten.
Mich interessiert eigentlich nur ob Windows wieder normal bootet nach dem Fix.

OK, das mache ich dann nach Dienstschluss lieber selber - wahrscheinlich dann so ab 15:00. Vielen Dank, der Bericht folgt dann postwendend.
Beste Grüße,
Rudi

Hallo Arne, ich freue mich Dir mitteilen zu können, dass ich Dir soeben von unserem Rechner aus schreibe. Windows läuft wieder normal. Jetzt stehen wahrscheinlich noch einige Schritte mehr an oder?
Beste (und dankbare) Grüße,
Rudi

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, schönen guten Morgen,
Malwarebyte hat für seinen Scan auf unserer Kiste gute 11h gebraucht. OTL ging erheblich schneller. Hier als Anhang schon einmal die ersten beiden logs (mbam und Extras) der letzte kommt dann gleich.
Gruß, Rudi

Hier als Zip-Datei (man ist ja lese- und lernfähig ;) )nun auch die otl.txt
Ich glaube das die Schädlingsbekämpfung dank Deiner Hilfe sehr erfolgreich verlaufen ist, würde mich aber freuen, wenn Du mir helfen würdest, den PC zukünftig besser abzusichern. Ich hatte mir, da Avira ohnehin in Kürze abläuft und ich ja auch noch meinen neuen Laptop absichern will, die Kaspersky IS 2012 für bis zu drei Rechner gekauft. Ist das in Kombination mit regelmäßiger Systempflege (updates) schon ausreichend? Soll ich diesen Rechner jetzt trotz der erfolgreichen Säuberungsaktion formatieren und wieder neu aufspielen? Was empfiehlst Du?
Beste Grüße
Rudi

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2008.02.09 21:56:28 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell - "" = AutoRun

O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun\command - "" = F:\preinst.exe

O33 - MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\Shell\AutoRun\command - "" = F:\direc.exe

[2011.07.02 10:36:00 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\docgvtau.sys

:Commands

[purity]

[resethosts]

Hallo Arne,
bueno, der Rechner ist nicht neu gestartet, der Log sieht folgendermaßen aus:

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.02.09 21:56:28 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell - "" = AutoRun
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\Shell\AutoRun\command - "" = F:\preinst.exe
O33 - MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\Shell\AutoRun\command - "" = F:\direc.exe
[2011.07.02 10:36:00 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\docgvtau.sys
:Commands
[purity]
[resethosts]

Gruß, Rudi

Sorry, falsch, hier kommt das richtige:

========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16f9e658-f34c-11dc-8595-001bfc87e917}\ not found.
File F:\preinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e8b8cbb0-6ee3-11de-86d1-001bfc87e917}\ not found.
File F:\direc.exe not found.
File C:\WINDOWS\System32\drivers\docgvtau.sys not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.25.0 log created on 07032011_210136

Gruß, Rudi

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallöchen,
der Log ist im Anhang. Es scheint alles gut auszusehen. Kaspersky hat keine Bedrohung/Infektion gefunden. Auch auf die Dokumente in den eigenen Dateien können wir ohne Probleme zugreifen. Dürfen wir das langsam für ein gutes Zeichen halten? :Boogie:
Beste Grüße,
Rudi

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Moin moin,
ok, werde ich so machen, allerdings erst heute abend, da ich wieder im Dienst bin.
Danke und Gruß,
Rudi

Nabend Arne,
So ich habe mich nach Kräften bemüht auch diesen Deinen Anweisungen zu folgen, aber ich glaube ich habe zwei Böcke drin:
1. Combo fix ist automatisch in dem Ordner "Downloads" abgespeichert worden. Ich habe es dann zwar rübergezogen auf den Desktop und auch von da aus gestartet aber ist es damit nicht so wirksam?
2. Kurz vor dem Ende des Ablaufs hat sich, trotzdem ich alle Programme incl. Antivir und co deaktiviert habe auf einmal der avira updater eingeschaltet. ICh habe ihn zwar sofort abgebrochen aber ob es gestört hat sagt Dir vermutlich der Log (Schwitz)...
Unabhängig davon ist alles so durchgelaufen wie in dem Tutorial beschrieben. Hier ist der Log:
Combofix Logfile:

Code:

ComboFix 11-07-03.04 - Rudi 04.07.2011  21:01:53.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.498 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Rudi\Eigene Dateien\Downloads\ComboFix.exe

AV: Avira Premium Security Suite *Disabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}

FW: Avira Firewall *Disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Katharina\WINDOWS

c:\windows\IsUn0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-06-04 bis 2011-07-04  ))))))))))))))))))))))))))))))

.

.

2011-07-02 10:25 . 2011-07-02 10:25        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2011-07-01 21:00 . 2011-07-01 21:00        --------        d-----w-        c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Malwarebytes

2011-07-01 20:59 . 2011-05-29 07:11        39984        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2011-07-01 20:59 . 2011-07-01 20:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2011-07-01 20:59 . 2011-05-29 07:11        22712        ----a-w-        c:\windows\system32\drivers\mbam.sys

2011-07-01 20:59 . 2011-07-01 20:59        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2011-07-01 20:57 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll

2011-07-01 20:48 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll

2011-07-01 20:44 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys

2011-07-01 20:43 . 2011-04-21 13:37        105472        -c----w-        c:\windows\system32\dllcache\mup.sys

2011-07-01 20:29 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe

2011-07-01 04:58 . 2011-07-01 04:58        --------        d-----w-        C:\_OTL

2011-06-29 17:39 . 2011-06-29 22:41        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0

2011-06-23 11:15 . 2011-06-23 11:15        2106216        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_43.dll

2011-06-23 11:15 . 2011-06-23 11:15        1998168        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_43.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-05-02 15:31 . 2007-12-02 10:12        692736        ----a-w-        c:\windows\system32\inetcomm.dll

2011-05-01 18:24 . 2011-05-01 18:24        472808        ----a-w-        c:\windows\system32\deployJava1.dll

2011-05-01 18:24 . 2008-01-20 13:14        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2011-04-29 17:25 . 2004-08-10 12:00        151552        ----a-w-        c:\windows\system32\schannel.dll

2011-04-29 16:19 . 2004-08-10 12:00        456320        ----a-w-        c:\windows\system32\drivers\mrxsmb.sys

2011-04-25 16:05 . 2004-08-10 12:00        916480        ----a-w-        c:\windows\system32\wininet.dll

2011-04-25 16:05 . 2004-08-10 12:00        43520        ----a-w-        c:\windows\system32\licmgr10.dll

2011-04-25 16:05 . 2004-08-10 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2011-04-25 12:01 . 2004-08-10 12:00        385024        ----a-w-        c:\windows\system32\html.iec

2011-04-21 13:37 . 2004-08-10 12:00        105472        ----a-w-        c:\windows\system32\drivers\mup.sys

2011-06-23 11:15 . 2011-03-27 06:49        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 16062464]

"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]

"V0270Mon.exe"="c:\windows\V0270Mon.exe" [2006-09-26 32768]

"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]

"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 213936]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2008-04-08 671796]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

.

R0 DiskSec;Magix Volume Filter Driver;c:\windows\system32\drivers\disksec.sys [23.03.2009 21:36 14208]

R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [05.12.2008 00:37 71592]

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [02.12.2007 13:05 11904]

R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [05.12.2008 00:37 344321]

R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [05.12.2008 00:37 164097]

R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [05.12.2008 00:37 258305]

R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [05.12.2008 00:37 41217]

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [18.08.2008 21:37 61440]

R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [05.12.2008 00:37 71464]

R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [02.12.2007 13:05 207872]

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [02.12.2007 13:05 11776]

R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [02.12.2007 13:05 299776]

R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [02.12.2007 13:05 498176]

R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [02.12.2007 13:05 23552]

R3 VF0270Dev;Live! Cam Optia;c:\windows\system32\drivers\V0270Dev.sys [09.02.2008 21:57 225632]

R3 VF0270Vfx;VF0270 Video FX;c:\windows\system32\drivers\V0270Vfx.sys [09.02.2008 21:57 6912]

S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler; [x]

S2 gupdate1c99e82167d8352;Google Update Service (gupdate1c99e82167d8352);c:\programme\Google\Update\GoogleUpdate.exe [06.03.2009 19:36 133104]

S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [16.03.2008 19:52 15104]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.03.2009 19:36 133104]

S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [18.08.2008 21:37 17280]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [01.07.2011 22:59 39984]

S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [06.01.2009 23:20 51072]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

tapisrv        REG_MULTI_SZ           Tapisrv

.

Inhalt des "geplante Tasks" Ordners

.

2009-04-30 c:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4230337584.job

- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 16:56]

.

2011-07-04 c:\windows\Tasks\Google Software Updater.job

- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-06 17:26]

.

2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-06 17:35]

.

2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-06 17:35]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://webmail.bonifatius-lingen.de/redir.nsf

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

LSP: avsda.dll

TCP: DhcpNameServer = 192.168.2.1

DPF: {0F2AAAE3-7E9E-4B64-AB5D-1CA24C6ACB9C} - hxxps://webmail.bonifatius-lingen.de/dwa85W.cab

FF - ProfilePath - c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Mozilla\Firefox\Profiles\usxiuzt4.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxps://webmail.bonifatius-lingen.de/redir.nsf

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

AddRemove-Abenteuer auf dem Reiterhof - c:\windows\IsUn0407.exe

AddRemove-Benutzerhandbuch für Creative Live! Cam Optia German - c:\windows\IsUn0407.exe

AddRemove-InterVideo WinDVD - c:\windows\IsUn0407.exe

AddRemove-Lernpaket - c:\windows\IsUn0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2011-07-04 21:07

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-1417001333-963894560-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(1140)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'lsass.exe'(1196)

c:\windows\system32\avsda.dll

.

Zeit der Fertigstellung: 2011-07-04  21:12:24

ComboFix-quarantined-files.txt  2011-07-04 19:12

.

Vor Suchlauf: 13 Verzeichnis(se), 120.037.376.000 Bytes frei

Nach Suchlauf: 16 Verzeichnis(se), 120.293.097.472 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

.

- - End Of File - - 85E1EBD8D3C7AD84D2EB772BEC3A1C7E

--- --- ---

Und - was sagt der Chef jetzt? Einreißen und neu machen oder passt es?
Gruß, Rudi

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,
also GMER scheint tadellos zu laufen und das schon gut 1 1/2 Stunden. Kann das ähnlich lange gehen wie beim Malwarebyte Scan?
Gruß Rudi

Na, sieht so aus als poste ich die entsprechenden files erst morgen. Guats Nächtle.
Gruß, Rudi