GVU-Trojaner und mehr? ... XP Home
 

Hallo ihr fleißigen Helfer,
auch bei mir hat der GVU-Trojaner zugeschlagen :twak: und ich brauche eure Unterstützung.
Und dafür jetzt schon mal ein fettes DANKE!

Nachdem es mir dann gestern irgendwann gelungen ist, wieder Zugriff auf meinen Rechner zu haben, habe ich die ersten Schritte schon durchführen können.

Hier die ersten Ergebnisse:

mam:

otl.txt:

otl.extra:

Bei der gestrigen Recherche stieß ich noch auf eine Datei, die auch hier in diesem Zusammenhang schon im Board als verdächtig eingestuft wurde:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad

Was sagt ihr dazu?


Zudem habe ich, denke ich zumindest, dubiose TCP-Verbindungen, die im Zusammenhang mit dem Trojaner stehen könnten. Die Verbindungen im unten stehenden log zu den "akamaitechnologies.com"-Servern finde ich verdächtig. Denn als ich mich gestern abgestrampelt hab, um wieder Zufriff zu bekommen, ist beim killen des ctfmon-Prozesses auch die TCP-Verbindung zu den "akamaitechnologies.com"-Servern abgebrochen (gestern hatten diese aber andere IPs).

Vermutlich werdet ihr jetzt sagen, warte mal ab, bis wir fertig sind:

cmd-Abfrage mit netstat -a:
So, nun warte ich mal geduldig auf euch.

:hallo:

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hallo t'john,

erledigt und hier das log:

Sehr gut! :daumenhoc

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo t'john,

der Rechner läuft augenscheinlich ohne Probleme.
Schon mal sehr schön so.

Hier die logs, Malwarebytes hat ein bisschen gedauert.

mbam:

AdwCleaner:


Ich schätze, wir sind trotz der gut aussehenden logs noch nicht fertig?

Zudem bin ich gestern bei meiner Recherche auf der Seite von SOPHOS

hxxp://www.sophos.com/de-de/threat-center/threat-analyses/viruses-and-spyware/Troj~Reveton-AL/detailed-analysis.aspx

auf Hinweise gestoßen, was der mit ctfmon eingeschleppte Fiesling in der Registry verändert.
Ich hab das eben mal bei mir nachgeprüft, die auf der obigen Seite gelisteteten Einträge (created und modified keys) sind bei mir identsich vorhanden.

Was denkst du/schlägst du vor?

Danke und Gruß,
manne

Diese Reg-Keys setzen die Security-Zones runter.

Diese kannst du so zurücksetzen:

Anhang 38648

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Hallo t'john,
danke für die Registry-Erklärung. Hab die Stufe wieder angepasst.
Soll ich die vom Fiesling neu erstellten DWORD-Werte (die 2500er-Werte) dann noch löschen? Nach Rückstellung auf die Standardstufe haben diese Werte sich nicht verändert (nur die modifizierten 1609er-Werte stehen wieder auf 1).



Hier die logs:

AdwCleaner:

So, guten Morgen, :kaffee:
über dem scan von a2 bin ich dann eingeschlafen.
...

Emisoft AntiMalware:

Anmerkung: Die unter "PC Repair System" gefundenen Progs haben nichts mit der Scareware "PC Repair" gemein, das war ne Notfall-Sammlung von (nie gebrauchten) USB-lauffähigen Tools aus alten win98 Zeiten.
Da blickt man ein bisschen wehmütig zurück, damals konnte man sich (wenn man nicht ganz dämlich war) gar nichts einfangen, win98 war ne Festung. :snyper:

Sehr gut! :daumenhoc

ja, kannst du machen.

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo t'john,
der Easy Photo Uploader für facebook wurde als Adware erkannt. Ist dem wirklich so? Er wird überall als Nicht-Adware angepriesen.
?

Hier der eset.log

Sehr gut! :daumenhoc

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo t'john,
das hat wohl nicht geklappt.

Combofix arbeitete die verschiedenen Suchläufe ab.
Dann hat es sich plötzlich beendet, es wurde keine logfiles erstellt und der Rechner startete einfach sofort neu.
Dann kam 5mal hintereinander die Windowsmeldung "Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt.."

Im Explorer hat sich dafür ein merkwürdiges Phänomen eingeschlichen.
Unter C:\ wird ein Verzeichnis "Combofix" aufgeführt. Dieses hat das selbe Symbol wie der Arbeitsplatz und verhält sich auch so
Clicke ich drauf, wird im rechten Fenster der Inhalt des Arbeitsplatzes angezeigt.
Clicke ich an dieser Stelle erneut auf C: öffnet sich ein neuer (Unter-)Berzeichnisbaum von C:. Auch hier gibts dann wieder diesen Ordner Combofix. Usw. usw., das geht endlos.

Was nun?

Gib es eine C:\ComboFix.txt

Poste bitte den Inhalt.

Nein, gibt es nicht. Es wurden wie gesagt keine logs erstellt.

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

dann:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Mach ich, mbam braucht dann wieder seine Zeit.
Als Anhang noch ein shot von dem beschriebenen Combofix-Arbeitsplatz-Phänomen.:crazy:

Nicht schlecht :)
Ist mir bis jetzt noch nie untergekommen :)

So, die nöchsten logs.

mbam:



OTL:
OTL Logfile:
--- --- ---

--- --- ---

--- --- ---

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Erledigt.
Mit folgenden sichtbaren Nebeneffekten:

• geänderte Anzeigeeinstellungen von Desktop, Taskleiste, Explorer (Schriftart und -größe, Farbschema usw.)
• im systray fehlt ein Teil der Symbole (sowohl "aktuelle" als auch "vorherige")

otl fix log:

Sehr gut! :daumenhoc

Fehlt was bestimmtes?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Oh je. :eek:
Fehlendes:

Mit dem Script aus post #2 wurden drei Programmverknüpfungen aus dem Autostart-Ordner gelöscht. Ich ging bis eben davon aus, dass durch zurückkopieren der drei Verknüpfungen dies behebbar ist und wollte dies erledigen, sobald wir fertig sind. Habs eben ausprobiert (also Verknüpfungen wieder hergestellt).
Funktioniert aber nicht.

• CleanTemp 1.5 (prog, das beim starten den Temp-Ordner unter C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Temp auf Rückfrage löscht

  ...kann ich wohl neu installieren...

• BTTray (Bluetooth-Software, legt sich nach dem Booten ins systray)

  Bluetooth funktioniert nicht mehr, das Gerät läuft aber (Gerätemanager); ist auch nicht mehr über die Systemsteuerung (Assistent) start-/konfigurierbar, hier kommt die Meldung, dass das Gerät nicht gefunden wird.

• SuperHybridEngine (Asus-Tool zur Performance-Steuerung legt sich nach dem Booten ins systray)

Seit dem letzten OTL-Fix fehlt noch zusätzlich folgendes bzw. funktioniert nicht mehr:

• In der Systemsteuerung ist der Ordner "Netzwerkverbindungen" leer!
• Im systray fehlen die WLAN/LAN-Symbole.
• WLAN (Adapter läuft) funktioniert nicht mehr. LAN funktioniert.
• Im systray fehlt das Windows-Update-Symbol und das Java-Update-Symbol (es waren updates offen, hatte ich während der Reparatur zurückgestellt).
• Im systray fehlt das Sicherheitscenter-Symbol
• In der Systemsteuerung kann ich im "Sicherheitscenter" die Firewall-Einstellungen nicht aufrufen, es kommt der Hinweis, dass der zugehörige Dienst nicht ausgeführt wird.

Zudem:
Ich hab seit dem OTL-Fix jetzt zweimal gebootet, das Booten dauert jedesmal ewig. Beinahe 3 Minuten.

Wie jetzt weiter vorgehen? Erstmal versuchen, das System wieder soweit zum Laufen zu bringen, dass alles funktioniert und komplett ist? Oder weiter scannen?

:confused:

Alles was enfernt wurde ist hier zu finden: C:\_OTL\MovedFiles\

Alles was du als sauber kennst, kanns du an die richtigen Stellen wieder zurueckkopieren.

Zuerst weiter scannen. Bis es sauber ist um wieder benutzt werden zu koennen.

Hallo t'john,
über die "moved files" kann ich lediglich die aus dem Autostart entfernten Progs (Verknüpfungen und analog C:\Programme\...) zurückkopieren.
Zu allem anderen was seit dem OTL-Fix von gestern nicht mehr geht,

• hab heute morgen noch festgestellt, dass sich auch die Lautstärkeregelung (ebenso im systray und in der Systemsteuerung) gestern verabschiedet hat

finde ich nichts in den "moved files".
Dort gibts nur noch die verschobene "hosts"-Datei (aus C_WINDOWS\System32\drivers\etc\) und zwei Taskplaner-Jobs (aus C:\Windows\tasks).

edit: Ach ja, hab mal die Bootdauer gemessen: 5min20sek.
...
:killpc:


mbam:
AdwCleaner:

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:


Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

AdwCleaner:
a2:

Sehr gut! :daumenhoc

Lasse die Funde loeschen, dann:

Deinstalliere:
Emsisoft Anti-Malware


ESET Online Scanner

Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
• Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

• Lade und starte Eset Smartinstaller
• Haken setzen bei YES, I accept the Terms of Use.
• Klick auf Start.
• Haken setzen bei Remove found threads und Scan archives.
• Klick auf Start.
• Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Finish drücken.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Auf die Firewall hab ich keinen Zugriff mehr (siehe post #21), müsste aber zu dem Zeitpunkt noch abgestellt gewesen sein.


eset:

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 5 ) herunter laden.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
• Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Erledigt,
aber beim Löschen der temporären Daten kann ich nur einen Haken setzen (siehe shot).

edit: Java temporäre Dateien löschen

Moinsen.
hab leider trotz stundenlangem Suchen keinen Ansatz gefunden, warum die Checkboxen "Gecachte Anwendungen und Applets" und "Installierte Anwedungen und Applets" ausgegraut bzw. nicht aktivierbar sind.
*seufz*

Nebenbei hab ich dann festgestellt, dass mit dem deinstallieren der alten Java-Version nicht alles dazugehörige sauber entfernt wurde. Stieß aber auf ein feines Tool (wird nur ausgeführt, läuft ohne Installation),
JavaRa,

(da ich keinen link posten kann:
singularlabs.com/software/javara/ )

das diesen Job ganz fein erledigt.

JavaRa log:

Sehr gut! :daumenhoc

damit bist Du sauber und entlassen! :)


Tool-Bereinigung mit OTL


Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.

• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
• Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.


Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Aufräumen mit CCleaner

Lasse mit CCleaner (Download) (Anleitung) Fehler in der

• Registry beheben (mehrmals, solange bis keine Fehler mehr gefunden werden) und
• temporäre Dateien löschen.

Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html

Hallo t'john,
fein dass ich nun wieder sauber bin, ein erstes fettes Dankeschön an dieser Stelle für deine tatkräftige Hilfe!! (Das Zweite mache ich über Paypal ...)
:dankeschoen:

Hast du noch einen oder mehrere Ratschläge für mich. wie ich die Folgen des Combofix-Einsatzes post#15 und alle anderen beschriebenen Systemprobleme (ab post) nun versuchen könnte, zu bereinigen? Ich weiß gerade noch gar nicht, wo anfangen, und je mehr ich mir gerade das System anschaue, desto mehr finde ich, das nicht mehr funktioniert.

Danke und Gruß,
maidan

Das mit dem Explorer ist immer noch so?

Versuche bitte: http://www.trojaner-board.de/72874-s...eparieren.html

Uuuupft.
Ich komme alleine nicht weiter. Ich vermute mal nach wie vor, dass der Combofix-crash Ursache für das alles ist.
siehe post#11 und post#15

Ein Grundproblem des Rechners ist, dass alle möglichen Dienste beim Booten nicht starten und auch nicht nachträglich startbar sind.

Ich hab mich jetzt mal beispielsweise und exemplarisch auf die Windows Firewall gestürzt:

Starte ich die Firewall in der Systemsteuerung, kommt dort dann die Meldung:

Der Dienst "Windows-Firewall/Internet Connection Sharing (ICS)" konnte nicht gestartet werden.
Starte ich den Dienst manuell, hab ich dann folgende Meldung:
Fehler 1068: Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Versuche ich mir dann die Abhängigkeiten anzuschauen, hab ich dieses:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
(Und die Felder sind einfach leer.)

Und das hier wären nach meiner Recherche die Dienste, von denen die Firewall abhängig ist: (in Klammern der Status):

Gatewaydienst auf Anwendungsebene (manuell)
Netzwerkverbindungen (manuell)
NLA (Network Lokation Awareness) (manuell)
Plug & Play (gestartet)
RAS-Verbindungsverwaltung (manuell)
Remoteprozeduraufruf (RPC) (gestartet)
Verwaltung für automatische RAS-Verbindung (manuell)
Telefonie (manuell)

So, und hier komme ich in eine Endlos-Spirale, bei der ich den richtigen Ansatz nicht finde:
Bei allen obigen Diensten, die auf manuell stehen, kommt beim Starten die Meldung:
Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden.
Bei den beiden Diensten, die gestartet sind (Plug & Play und Remoteprozeduraufruf) kann ich mir wiederum die Abhängigkeiten nicht anzeigen lassen. Und ich kann beide Dienste weder anhalten, beenden noch fortsetzen (alles ist ausgegraut).
Versuche ich jetzt die fehlerhafte WMI Repository zu reparieren, hab ich folgendes setup-log:
und das mofcomp-log:
Und siehe da: ich bewege mich folglich auch hier in der selben Endlosschleife.

Somit finde ich keinen Ansatz, das System durch Reparatur einzelner Komponenten wieder in den Griff zu bekommen.
Wenn ich richtig liege, komme ich schätzungsweise nur über irgendeinen Lösungsweg, der bei Combofix ansetzt, weiter. Denn das hier was falsch lief, ist ja augenscheinlich (siehe oben). Aber davon habe ich keine Ahnung.

Also wenn ihr mir weiterhelfen könntet, BITTE!
Danke!

Hallo t'john,
da hat sich mein Beitrag mit deinem überschnitten.
Die Integritätsprüfung läuft, Ergebnis kommt dann.

Installiere das: Download: .NET Framework 2.0 Redistributable (x86) - Microsoft Download Center - Download Details

sfc ist durchgelaufen, die Dialog-box hat sich geschlossen,
ein logfile wurde nicht erstellt (wird bei xp wohl auch nicht).

Jetzt mache ich die .net framework Deinstallation und Neuinstallation,
aber das wird vermutlich dauern, da viel Handarbeit zur sauberen Deinstallation nötig ist.

.net framework 3.5 und abwärts deinstalliert, 2.0 neu installiert.

Auch hier keine sichtbare Änderung der Probs.

Wir koennten probieren nochmal Combofix laufen zu lassen.
Er hat ja begonnen und durch Absturz konnte er anscheinend seine Jobs nicht beenden.

Zu verlieren gibts hier (leider) nichts mehr.

Hmmmh, ja, das schwant mir nun auch schon einige Zeit.

Die Idee, Combofix nochmals drüber laufen zu lassen, ist eine.
Gibt es hierbei etwas (Neues) zu beachten?

Den Durchlauf mache ich aber erst, sobald ich einen Eratzrechner laufen habe, da ich mir gut vorstellen könnte, dass danach auch gar nichts mehr geht. Und ich zum Systemaufsetzen dann Zeit brauche.

Noch ne blöde Frage: Ich finde auch aus dem Dos-Prompt keinen einzigen Wiederherstellungspunkt. Wurden/werden diese von Combofix routinemäßig gelöscht?

Eigentlich nicht. Combofix erstellt sogar selbst einen Wiederherstellungspunkt und sichert die Registry.

Zu beachten gibts jetzt nichts mehr.

Sag bescheid, wenn du soweit bist ;)