Trojaner-Board - Gema-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gema-Trojaner (https://www.trojaner-board.de/119861-gema-trojaner.html)

Hi zusammen,

ich habe mir heute den o. g. Trojaner eingefangen und habe bereits folgendes getan: Vom anderen Rechner habe ich mir die OTL.Exe auf einen USB-Stick kopiert. Danach bin ich auf dem befallenen PC in den abgesichterten Modus gegangen. Dort habe ich dann stehen: C:/windows/system32>

Lt. Anleitung habe ich dort: copye:/otl.exe eingegeben. Leider ist nichts passiert. Es kommt der Hinweis: Entweder falsch eingegeben oder nicht gefunden worden. Danach habe ich es mal mit F und G versucht.

Den Rechner habe ich noch ganz neu. Daher weiß ich nicht welches Laufwerk er für USB-Eingänge benutzt. Liegt es überhaupt daran? Bin ich im richtigen Modus?

Danke an alle, die antworten

Hat doch geklappt. War Laufwerk G. Mit dem Befehl hat es nicht geklappt. Aber ich konnte über Datei in das Laufwerk gehen. Werde nun den Virus posten. Ich hoffe, daß das so richtig ist.

Vielen Dank an den Super-thread.

Kann ich jetzt den Rechner wieder normal benutzen?

Hier ist der OTL.txt

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox 

IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF 

IE:64bit: - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF 

IE:64bit: - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 

IE:64bit: - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 

IE:64bit: - HKLM\..\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de2-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox 

IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF 

IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF 

IE - HKLM\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 

IE - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 

IE - HKLM\..\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de2-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&form=CPNTDF&pc=CPNTDF&src=IE-SearchBox 

IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF 

IE - HKCU\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=CPNTDF 

IE - HKCU\..\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: "URL" = http://de.wikipedia.org/wiki/Special:Search?search={searchTerms} 

IE - HKCU\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/707-111076-19270-3/4?mpre=http://shop.ebay.com/?_nkw={searchTerms} 

IE - HKCU\..\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}: "URL" = http://www.amazon.de/s/ref=azs_osd_ieade?ie=UTF-8&tag=hp-de2-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 

FF - prefs.js..browser.search.useDBForOrder: true 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 

O31 - SafeBoot: UseAlternatShell - 1 

O32 - HKLM CDRom: AutoRun - 1 

O33 - MountPoints2\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\Shell - "" = AutoRun 

O33 - MountPoints2\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\Shell\AutoRun\command - "" = G:\AutoRun.exe 

O33 - MountPoints2\G\Shell - "" = AutoRun 

O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Install.exe 

 
 

[2012.07.19 09:16:41 | 004,503,728 | ---- | M] () -- C:\ProgramData\pmt_0piot.pad 

[2012.07.19 07:01:33 | 000,001,889 | ---- | M] () -- C:\Users\COMPAQ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 

[2012.07.19 07:01:33 | 004,503,728 | ---- | C] () -- C:\ProgramData\pmt_0piot.pad 

[2012.07.19 07:01:33 | 000,001,889 | ---- | C] () -- C:\Users\COMPAQ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk 
 

:Files
 

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

danach:

1. Schritt

Neue Version! Bitte neu runterladen!

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

Hallo t`john,

vielen Dank für Deine Antwort. Soll ich jetzt nach dem Scannen noch so verfahren wie Du gesagt hast?

Bitte fuehre den FIX aus.

Danach scan mit Malwarebytes.

Wo gibt es Probleme?

Hallo nochmal,

ich kann die Datei otl.exe nicht auf den desktop kopieren, da der Trojaner mich nirgendwo ranläßt. Ich dachte das wär durch den scan im gesicherten Modus behoben. Ist es aber nicht.

Was also jetzt?

Versuche den Fix im abgesicherten Modus durchzufuehren.

Werd ich machen. Kann ich denn im abgesicherten Modus die Datei otl.exe auf den Desktop kopieren? Vom USB-Stick? Wenn ja wie?

Wenn nicht müßte ich ja das script auf den USB-Stick kopieren und dann im abgesicherten Modus einfügen.

Kopiere dir den Fix in eine TEXT-Datei und dann auf den USB-Stick.

Kopiere OTL denn auf den Desktop und fuehre es dort aus.

Punkt 1 habe ich erledigt. Nur wie bereits gesagt, weiß ich nicht, wie ich die Datei otl.exe auf den Desktop im abgesicherten Modus bringe. Im abgesicherten Modus öffnet sich ein Fenster das heißt: Administrator:cmd.exe. Ein Cursor blinkt hinter :C:\Windows\system32>
Leider bin ich kein Fachmann und weiß nicht wie ich das machen soll.

Da komme ich nicht vor und nicht zurück.

Starte OTL dort, wo du es schon mal gestartet hast und wir versuchen es so.

Ok. Habe bei der oben erwähnten Eingabeaufforderung: start otl.exe eingegeben und es hat funktioniert. Wenn Du mir jetzt noch sagst, wie ich auf den USB-Stick mit dem Fix zugreifen kann, dann läuft die Sache.

Offenbar hat die otl-Datei leider kein "Durchsuchen"-Feld, sonst käme ich einfach daran. Wie gesagt, mit dem abgesicherten Modus kenne ich mich nicht aus. Daher kann ich auch nicht avira deaktivieren. Es sei denn, Du sagst mir wie.

LG

Weisst du wie man eine Text-Datei anlegt?

[WIN]+[R]

eintippen:

Zitat:

notepad

den FIX reinkopieren, Datei auf Stick oder Festplatte speichern.

---

unter CMD dann

Zitat:

notepad.exe fix.txt

um Fix reinkopieren zu koennen.

ALTERNATIV:

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

siehe oben

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

Hi nochmal,

ich habe mittlerweile den Fix durchgeführt. Und zwar mit G: - da war ich auf dem Stick. Dann habe ich start fix.txt eingegeben und ich war in der Datei. Habe sie dann kopiert und in das von Dir beschriebene Feld eingefügt. Anschließend hat der Rechner einen Neustart gefordert, wie von Dir beschrieben. Jetzt werde ich die moved files hier reinsetzen. Der Rechner klappt wieder. Meinen herzlichsten Dank :-D. Muß ich jetzt noch die malware-software anwenden?

LG

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d43b3890-80c7-4010-a95d-1e77b5924dc3}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D944BB61-2E34-4DBF-A683-47E505C587DC}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F508C8AB-762D-4759-BA05-C8D219F6E582}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: true removed from browser.search.useDBForOrder
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e76ae20-a739-11e1-9a13-2c768ad5bac8}\ not found.
File G:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File G:\Install.exe not found.
C:\ProgramData\pmt_0piot.pad moved successfully.
C:\Users\COMPAQ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk moved successfully.
File C:\ProgramData\pmt_0piot.pad not found.
File C:\Users\COMPAQ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk not found.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache konnte nicht geleert werden: Beim Ausfhren der Funktion ist ein Fehler aufgetreten.
C:\Windows\system32\cmd.bat deleted successfully.
C:\Windows\system32\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: COMPAQ
->Temp folder emptied: 26752159 bytes
->Temporary Internet Files folder emptied: 35619684 bytes
->Java cache emptied: 33530176 bytes
->FireFox cache emptied: 60994606 bytes
->Flash cache emptied: 677 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Gast
->Temp folder emptied: 34163320 bytes
->Temporary Internet Files folder emptied: 883056 bytes
->Flash cache emptied: 456 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 141463072 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67765 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 318,00 mb

[EMPTYFLASH]

User: All Users

User: COMPAQ
->Flash cache emptied: 0 bytes

User: Default

User: Default User

User: Gast
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.54.0 log created on 07222012_214018

Übrigens: Nach dem Fix und dem Neustart hat avira festgestellt, daß es einen Virus gibt/gab. Tolle Wurst - taugt avira überhaupt was?

Sehr gut! :daumenhoc

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

So i did. Nochmals herzlichsten Dank für Deine/Eure Hilfe. Das war eine wahrlich lohnende Erfahrung für mich.

Hier die clean-codes:

# AdwCleaner v1.703 - Logfile created 07/23/2012 at 00:20:48
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : COMPAQ - COMPAQ-HP
# Running from : C:\Users\COMPAQ\Downloads\adwcleaner.exe
# Option [Search]

***** [Services] *****

***** [Files / Folders] *****

***** [Registry] *****

***** [Registre - GUID] *****

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\COMPAQ\AppData\Roaming\Mozilla\Firefox\Profiles\0wsqxpmt.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [708 octets] - [23/07/2012 00:20:48]

########## EOF - C:\AdwCleaner[R1].txt - [835 octets] ##########

Thanks a lot :taenzer:

Bitte noch das Malwarebytes-Log!

Hier ist es:

Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.22.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
COMPAQ :: COMPAQ-HP [Administrator]

Schutz: Aktiviert

22.07.2012 22:23:39
mbam-log-2012-07-22 (22-23-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Q:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 312572
Laufzeit: 1 Stunde(n), 4 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Und nochmals vielen DANK!

Sehr gut! :daumenhoc

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Und ich dachte schon das war es dann. Ok, das mache ich dann morgen.

Gute Nacht! ;-D

Nein, das sag ich dann schon :)

So hier der log-file:

# AdwCleaner v1.703 - Logfile created 07/23/2012 at 22:08:59
# Updated 20/07/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : COMPAQ - COMPAQ-HP
# Running from : C:\Users\COMPAQ\Downloads\adwcleaner.exe
# Option [Delete]

***** [Services] *****

***** [Files / Folders] *****

***** [Registry] *****

***** [Registre - GUID] *****

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (de)

Profile name : default
File : C:\Users\COMPAQ\AppData\Roaming\Mozilla\Firefox\Profiles\0wsqxpmt.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [835 octets] - [23/07/2012 00:20:48]
AdwCleaner[S1].txt - [767 octets] - [23/07/2012 22:08:59]

########## EOF - C:\AdwCleaner[S1].txt - [894 octets] ##########

Wo ist das Emsisoft Logfile?

Der scan läuft noch. ;-)

Schicke ich gleich.

LG

So, diesmal gibt es aber Funde:

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 23.07.2012 22:28:34

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\, Q:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 23.07.2012 22:29:01

E:\COMPAQ-HP\Backup Set 2012-06-04 001117\Backup Files 2012-06-25 110111\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\ebfe04f-25e5d59c -> in_a\in_c.class gefunden: Exploit.Java.Blacole!E2
E:\COMPAQ-HP\Backup Set 2012-06-04 001117\Backup Files 2012-06-25 110111\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\ebfe04f-25e5d59c gefunden: Exploit.Java.Blacole!E2
E:\COMPAQ-HP\Backup Set 2012-06-04 001117\Backup Files 2012-06-25 110111\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\ebfe04f-25e5d59c -> in_a\in_a.class gefunden: Exploit.Java.Blacole!E2
E:\COMPAQ-HP\Backup Set 2012-06-04 001117\Backup Files 2012-06-25 110111\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\ebfe04f-25e5d59c -> in_a\in_b.class gefunden: Exploit.Java.Blacole!E2
E:\COMPAQ-HP\Backup Set 2012-07-01 211555\Backup Files 2012-07-15 201313\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\48bd0abc-4ea74618 -> nr.class gefunden: JAVA.Agent!E2
E:\COMPAQ-HP\Backup Set 2012-07-01 211555\Backup Files 2012-07-15 201313\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\48bd0abc-4ea74618 gefunden: JAVA.Agent!E2
E:\COMPAQ-HP\Backup Set 2012-07-01 211555\Backup Files 2012-07-15 201313\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\48bd0abc-695bfe26 -> nr.class gefunden: JAVA.Agent!E2
E:\COMPAQ-HP\Backup Set 2012-07-01 211555\Backup Files 2012-07-15 201313\Backup files 1.zip -> C\Users\COMPAQ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\48bd0abc-695bfe26 gefunden: JAVA.Agent!E2

Gescannt 553404
Gefunden 8

Scan Ende: 23.07.2012 23:14:44
Scan Zeit: 0:45:43

Sehr gut! :daumenhoc

Lasse die Funde loeschen, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich kann die gefundenen Objekte offenbar nur unter Quarantäne stellen. Eine Löschoption ist nicht vorgegeben.

Habe den scan wiederholt. Bei dem scan habe ich unter Aktion "unter Quarantäne stellen" ausgewählt. Und siehe da - nach dem scan konnte ich die ausgewählten Dateien löschen.
:-D

Gut, mit ESET weitermachen ;)

Hallo t´john,

nachdem ich gestern abend ESET gestartet habe, war zu erkennen, daß das noch Stunden geht. Daher habe ich mich hingehauen. Als ich später die Katze reinließ, habe ich den Rechner gecheckt. ESET-scan war durch. Leider habe ich im Halbschlaf "virus löschen" und "uninstall" angekreuzt.

Daher existiert offenbar auch kein log-file. Nochmal durchführen kann ich den scan ja nicht, da der Virus ja nun weg ist.

Was tun?

Hast du mal hier geschaut?

C:\Programme\Eset\EsetOnlineScanner\log.txt

Na klar,

aber dort ist nur eine Datei die heißt: C:\Programme\Eset\EsetOnlineScanner\log.ocx die kann ich nicht öffnen und habe sie daher nicht verschickt.

Mittlerweile habe ich mit einem Bekannten darüber gesprochen. Er betreut Groß-Server und ist imho ein absoluter Experte. Er meinte: Alles schön und gut und wenn später doch noch etwas übrig geblieben ist von dem Trojaner, kannst Du wieder von vorne anfangen.

Sein Ratschlag: Rechner einfach neu aufsetzen und gut is ... .

Werde ihm die Tage den Rechner vorbeibringen. Das ist ja alles sehr zeitaufwendig mit dem Scannen und so.

Ich möchte mich trotzdem noch einmal herzlich für die Mühe und Geduld bedanken.

Vielen Dank und LG