Trojaner-Board - GEMA-Trojaner auf Asus Netbook mit XP ohne Disc-Laufwerk

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GEMA-Trojaner auf Asus Netbook mit XP ohne Disc-Laufwerk (https://www.trojaner-board.de/105536-gema-trojaner-asus-netbook-xp-ohne-disc-laufwerk.html)

Hier der gewünschte Thread aus Schritt 1:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IjmrHbDDJ3PyrXc deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\rBMCQKITTiB.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\IjmrHbDDJ3PyrXc deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\5suxrt589cxuftg.exe deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 46026679 bytes
->Flash cache emptied: 882 bytes

User: steffi
->Temp folder emptied: 115986103 bytes
->Temporary Internet Files folder emptied: 10928362 bytes
->Java cache emptied: 67183921 bytes
->FireFox cache emptied: 368650726 bytes
->Apple Safari cache emptied: 16384 bytes
->Flash cache emptied: 42586 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 653229 bytes
RecycleBin emptied: 4217995215 bytes

Total Files Cleaned = 4.604,00 mb

OTL by OldTimer - Version 3.2.31.0 log created on 11292011_150858

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Hey! Lasse gerde den Schritt 2 durchlaufen und habe die Fehlermeldung

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.

bekommen, allerdings ohne Frage. Ich kann hier lediglich OK auswählen, was soll ich tun?

Hab die Meldung einfach mit OK geschlossen. Hier nun die TXT Datei zu Schritt 2:

GMER Logfile:

Code:

GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-29 16:31:45

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160310AS rev.0303

Running: 6i7p48tg.exe; Driver: C:\DOKUME~1\steffi\LOKALE~1\Temp\kwtdypob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F7C7094E                                                                  ZwCreateKey

SSDT            F7C70944                                                                  ZwCreateThread

SSDT            F7C70953                                                                  ZwDeleteKey

SSDT            F7C7095D                                                                  ZwDeleteValueKey

SSDT            F7C70962                                                                  ZwLoadKey

SSDT            F7C70930                                                                  ZwOpenProcess

SSDT            F7C70935                                                                  ZwOpenThread

SSDT            F7C7096C                                                                  ZwReplaceKey

SSDT            F7C70967                                                                  ZwRestoreKey

SSDT            F7C70958                                                                  ZwSetValueKey
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           i8042prt.sys                                                              F76C9000 9 Bytes  [90, 90, 90, 90, 8B, FF, 55, ...] {NOP ; NOP ; NOP ; NOP ; MOV EDI, EDI; PUSH EBP; MOV EBP, ESP}

.text           i8042prt.sys                                                              F76C900A 26 Bytes  [56, 8B, 75, 08, 57, 33, FF, ...]

.text           i8042prt.sys                                                              F76C9026 29 Bytes  [50, FF, 15, 5C, B4, 6C, F7, ...]

.text           i8042prt.sys                                                              F76C9044 3 Bytes  [00, A1, 00]

.text           i8042prt.sys                                                              F76C9048 1 Byte  [6C]

.text           ...                                                                       

?               C:\WINDOWS\system32\DRIVERS\i8042prt.sys                                  suspicious PE modification
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\WINDOWS\System32\svchost.exe[816] ntdll.dll!NtProtectVirtualMemory     7C91D6EE 5 Bytes  JMP 0169000A 

.text           C:\WINDOWS\System32\svchost.exe[816] ntdll.dll!NtWriteVirtualMemory       7C91DFAE 5 Bytes  JMP 018E000A 

.text           C:\WINDOWS\System32\svchost.exe[816] ntdll.dll!KiUserExceptionDispatcher  7C91E47C 5 Bytes  JMP 0168000C 
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Modules - GMER 1.0.15 ----
 

Module          (noname) (*** hidden *** )                                                F6C5C000-F6C75000 (102400 bytes)                                                                                    
 

---- Files - GMER 1.0.15 ----
 

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289                                0 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\@                              2048 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\bckfg.tmp                      764 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\cfg.ini                        185 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\Desktop.ini                    4608 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\kwrd.dll                       223744 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\L                              0 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\L\goaivlai                     52992 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U                              0 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\00000001.@                   1536 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\00000002.@                   224768 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\00000004.@                   1024 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\80000000.@                   1024 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\80000004.@                   12800 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\1159449289\U\80000032.@                   98304 bytes

File            C:\WINDOWS\$NtUninstallKB36818$\2935085840                                0 bytes
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Wusste ich es doch.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Bitte poste in deiner nächsten Antwort
Combofix.txt

Lieber Daniel,
hier nun die Combofix.txt:

Combofix Logfile:

Code:

ComboFix 11-11-22.01 - steffi 29.11.2011  17:11:48.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1015.505 [GMT 1:00]

ausgef¸hrt von:: c:\dokumente und einstellungen\steffi\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

- REDUZIERTER FUNKTIONALITƒTSMODUS -

.

.

(((((((((((((((((((((((   Dateien erstellt von 2011-10-28 bis 2011-11-29  ))))))))))))))))))))))))))))))

.

.

2011-11-28 22:14 . 2011-11-28 22:14        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

2011-11-24 14:44 . 2011-11-24 14:44        95744        ---ha-w-        c:\dokumente und einstellungen\steffi\Anwendungsdaten\dwlGina3.dll

2011-11-24 14:09 . 2011-11-24 14:09        95744        ---ha-w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dwlGina3.dll

2011-11-24 14:07 . 2011-11-24 14:07        228864        ---ha-w-        c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\5suxrt589cxuftg.exe

2011-11-15 18:15 . 2011-11-15 18:15        --------        d--h--w-        c:\programme\iPod

2011-11-15 18:15 . 2011-11-15 18:16        --------        d--h--w-        c:\programme\iTunes

2011-11-15 18:11 . 2011-11-15 18:11        --------        d--h--w-        c:\programme\Apple Software Update

2011-11-15 18:11 . 2011-11-15 18:11        --------        d--h--w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer

2011-11-15 18:09 . 2011-11-15 18:09        --------        d--h--w-        c:\programme\Bonjour

2011-11-15 07:46 . 2011-11-05 07:10        134104        ---ha-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll

2011-11-15 07:46 . 2011-11-05 07:10        801752        ---ha-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll

2011-11-15 07:46 . 2011-11-05 07:10        1989592        ---ha-w-        c:\programme\Mozilla Firefox\mozjs.dll

2011-11-15 07:46 . 2011-11-05 07:10        16856        ---ha-w-        c:\programme\Mozilla Firefox\plugin-container.exe

2011-11-15 07:46 . 2011-11-05 07:10        924632        ---ha-w-        c:\programme\Mozilla Firefox\firefox.exe

2011-11-15 07:46 . 2011-11-05 07:10        89048        ---ha-w-        c:\programme\Mozilla Firefox\libEGL.dll

2011-11-15 07:46 . 2011-11-05 07:10        719832        ---ha-w-        c:\programme\Mozilla Firefox\mozcpp19.dll

2011-11-15 07:46 . 2011-11-05 07:10        478168        ---ha-w-        c:\programme\Mozilla Firefox\libGLESv2.dll

2011-11-15 07:46 . 2011-11-05 07:10        15832        ---ha-w-        c:\programme\Mozilla Firefox\mozalloc.dll

2011-11-15 07:46 . 2011-11-05 03:20        2106216        ---ha-w-        c:\programme\Mozilla Firefox\D3DCompiler_43.dll

2011-11-15 07:46 . 2011-11-05 03:20        1998168        ---ha-w-        c:\programme\Mozilla Firefox\d3dx9_43.dll

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-10 14:22 . 2010-01-14 00:17        692736        ---ha-w-        c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2010-01-14 00:03        604160        ---ha-w-        c:\windows\system32\crypt32.dll

2011-09-26 10:41 . 2011-09-26 10:41        614912        ---h--w-        c:\windows\system32\uiautomationcore.dll

2011-09-26 10:41 . 2010-01-14 00:03        23040        ---ha-w-        c:\windows\system32\oleaccrc.dll

2011-09-26 10:41 . 2010-01-14 00:03        220160        ---ha-w-        c:\windows\system32\oleacc.dll

2011-09-14 18:31 . 2009-05-26 19:38        66616        ---ha-w-        c:\windows\system32\drivers\avgntflt.sys

2011-09-14 18:31 . 2009-05-26 19:38        138192        ---ha-w-        c:\windows\system32\drivers\avipbb.sys

2011-09-06 14:10 . 2010-01-14 00:03        1859072        ---ha-w-        c:\windows\system32\win32k.sys

2008-05-07 08:34 . 2009-01-14 00:58        15523560        ---ha-w-        c:\programme\U1 Setup.exe

2011-11-05 07:10 . 2011-11-15 07:46        134104        ---ha-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-09-18 16855040]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]

"AsusTray"="c:\programme\EeePC\ACPI\AsTray.exe" [2008-12-04 114688]

"AsusACPIServer"="c:\programme\EeePC\ACPI\AsAcpiSvr.exe" [2008-12-17 622592]

"AsusEPCMonitor"="c:\programme\EeePC\ACPI\AsEPCMon.exe" [2008-05-21 94208]

"ETDWare"="c:\programme\Elantech\ETDCtrl.exe" [2008-11-24 329728]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]

"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]

"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-11-12 421736]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"IjmrHbDDJ3PyrXc"="c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\5suxrt589cxuftg.exe" [2011-11-24 228864]

.

c:\dokumente und einstellungen\steffi\Startmen¸\Programme\Autostart\

StarOffice 8.lnk - c:\programme\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

.

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [26.05.2009 20:38 136360]

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [26.05.2009 20:46 222456]

S2 DeviceManager;DeviceManager;c:\programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.exe -start --> c:\programme\Gemeinsame Dateien\DeviceHelper\DeviceManager.exe -start [?]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [22.11.2009 12:15 4352]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [22.11.2009 12:14 265088]

S3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [02.11.2009 08:37 103552]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - KWTDYPOB

*Deregistered* - kwtdypob

.

Inhalt des "geplante Tasks" Ordners

.

2011-11-15 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]

.

2011-11-29 c:\windows\Tasks\Auf Updates f¸r Windows Live Toolbar pr¸fen.job

- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

.

------- Zus‰tzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm

IE: Senden an &Bluetooth-Ger‰t... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.178.1

FF - ProfilePath - c:\dokumente und einstellungen\steffi\Anwendungsdaten\Mozilla\Firefox\Profiles\56wc4dpa.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig?hl=de

FF - user.js: yahoo.homepage.dontask - true

.

- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -

.

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe

MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-29 17:13

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteintr‰ge... 

.

Scanne versteckte Dateien... 

.

.

c:\windows\$NtUninstallKB36818$:SummaryInformation 0 bytes hidden from API

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 1

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(528)

c:\windows\system32\mswsock.dll

mswsock.dll     719b0000   262144 \\.\globalroot\systemroot\system32\mswsock.dll

.

- - - - - - - > 'explorer.exe'(2964)

c:\windows\system32\webcheck.dll

c:\windows\system32\mshtml.dll

c:\windows\system32\msls31.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2011-11-29  17:17:42

ComboFix-quarantined-files.txt  2011-11-29 16:17

.

Vor Suchlauf: 1 Verzeichnis(se), 75.523.493.888 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 75.471.519.744 Bytes frei

.

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 4975EE87C5C91A36FD7670FEEF4FFEC4

--- --- ---

Nicht gut, eventuell enden wir hier doch mit einer Neuinstallation :(

Lösche bitte die vorhandene Combofix Version und downloade dir von hier eine neue Version.

Speichere diese auf dem Desktop.
Gehe sicher, dass all deine Anti Virus und anderen Schutzprogramme abgeschalten sind.

Bitte poste in deiner nächsten Antwort
Combofix.txt

So hatte die andere Combofix Version nach Anleitung genutzt, die Aktion wurde abgebrochen, der Rechner hat sich runtergefahren und nach dem Neustart blinkt der Cursour im Feld zur Kennworteingabe aber ich kann nicht editieren und den Mauszeiger nicht bewegen

Hooray,

Na dann wars das wohl erstmal. Wir haben wirklich lange versucht, die Infektion, die auf deinem Rechner ist, manuell zu entfernen. Nach 4 Stunden haben die Experts aufgegeben.

Combofix ist das einzige Tool, welches damit klar kommt und somit bleibt mir dir nur noch eine Neuinstallation ans Herz zu legen.

Versuch den Rechner mal manuell neu zu starten.

Ich danke Euch jedenfalls vielmals für Eure Mühe & Unterstützung.