Trojaner-Board - autorega.exe und unendliche viele "Anwedungsdaten" Ordner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - autorega.exe und unendliche viele "Anwedungsdaten" Ordner (https://www.trojaner-board.de/129788-autorega-exe-unendliche-viele-anwedungsdaten-ordner.html)

autorega.exe und unendliche viele "Anwedungsdaten" Ordner

Hallo liebe Experten,

es ist mal wieder so weit... ich habe mir anscheinend etwas neues eingefangen.

- eine Datei mit dem Namen "autorega.exe" befindet sich auf meinem System. Die Datei ist zudem gleich vielfach vorhanden auf meinem Rechner:

http://www.abload.de/img/1tgk5s.jpg

- Und der Ordner "Anwendungsdaten" ist ebenso unendlich oft vorhanden:

http://www.abload.de/img/38gjuf.jpg

- Zudem war im Taskmanager die Datei "conhost.exe" verdächtig oft geöffnet. Nachdem ich sie manuell beendet habe, ist sie dann aber nicht mehr erschienen.

Ein Scan mit GData 2013 hat nix gefunden.

Könnt ihr mir weiterhelfen?
Vielen Dank!

hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo,

ich habe OLT runtergeladen und exakt(!) wie beschrieben ausgeführt. Ich habe es heute Nacht um 00:30 Uhr gestartet und es ist über ZWÖLF Stunden gelaufen (was mit dieser unendlichen Ordnerstruktur zu tun hat). Zur Info, ich habe einen Intel 2,53 GHz Core Duo mit 8 GB RAM und natürlich kein einziges Programm geöffnet gehabt.

Jetzt als ich nach Hause gekommen bin stand da die Meldung "Scans complete" und so etwas wie "Die Datei EXTRAS.txt wurde nicht auf ihrem Desktop gefunden, soll sie erstellt werden?". Ich habe natürlich auf "Ja" geklickt. Ergebnis: Nichts. (Sorry, ich ärgere mich halt, dass es nicht geklappt hat)

Ich verstehe das nicht. Kannst Du mir weiterhelfen? Wenn ich jetzt einen erneuten Scan starte und es zum gleichen Ergebnis kommt, kann ich meinen PC wieder einen halben Tag lang nicht benutzen. Nachts ist das ok, aber morgens muss ich arbeiten.
Was soll ich tun?

p.s. ich habe natürlich auch schon eine Dateisuche (inkl. versteckter Ordner) nach OLT.txt und EXTRAS.txt auf C: durchgeführt, auch erfolglos.

wurde die OTL.txt erstellt,die würd mir erst mal reichen.

beide Dateien wurden nicht erstellt.

Vlt. hat es mit dieser unendlichen Ordnerverschachtelung zu tun?

Hi,

ich hab den Scan nochmal durchlaufen lassen.

Hier die OLT.txt als RAR Datei im Anhang

Danke!

hi,
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Folgende Meldung kommt gerade und klingt für mich bedrohlich. Registry kann nur noch manuell wieder hergestellt werden!?
Alle AV Progs. und FWs sind ausgeschaltet gewesen.

http://www.abload.de/img/ahvun2.jpg

Ich habe noch nicht auf "OK" geklickt. Was mache ich nun? Progr. im TaskMgr beenden?

klicke mal bitte ok.

hab ich. Nun kommt diese Meldung:

http://www.abload.de/img/bq8k7s.jpg

poste sie bitte als Text, danke

Folgende Meldung kommt:

Warning!

Error saving file
C:\Windows\erdnt\HIv-backup\BCD !

Continue with next file?

Nicht, dass wir uns missverstehen. Ich warte noch auf eine Anweisung von dir ob ich "ja" oder "nein" klicken soll.

Ich hab halt leider null Ahnung von euren Progs, daher muss ich auch wie son Depp bei jedem Schritt nachfragen, sorry, aber ich denke das verstehst Du hoffentlich.

Danke in jedem Fall fürs helfen.

(Wofür ist eig. "ComboFix" ?)

hi
kannst ja klicken.
combofix zeigt uns weitere mögliche infektionen, falls vorhanden, und gibt uns weitere analyse möglichkeiten

Hallo,

also... ich habe nun die dritte Nacht in Folge Combofix durchlaufen lassen. Es gab zu Beginn immer mal wieder Fehlermeldungen (siehe vorige Posts).
Es wurde nie eine ComboFix.txt auf dem Desktop (wie sich auch die ComboFix.exe befindet) erstellt.

Gestern Abend gegen 23 Uhr habe ich ComboFix wieder gestartet und heute Mittag hat er dann den PC neu gestartet. Danach ist nix mehr passiet.

Zu jedem Zeitpunkt waren AV Prog. und FW aus.

Ich habe dann unter c:\ComboFix die ComboFix.txt entdeckt. folgender Inhalt ist dort finden:

Code:

ComboFix 13-01-21.01 - Administrator 23.01.2013  23:23:50.4.2 - x64

ausgeführt von:: C:\Users\Administrator\Desktop\kräng\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 

Überschreibung abgebrochen ... Bitte führe Combofix erneut aus

Die Datei ComboFix.txt wurde heute um 11:52 erstellt.

Es dauert Ewigkeiten und es funktioniert nicht. Ich habe es wie gesagt DREI mal an drei aufeinander folgenden Nächten versucht.

Im Taskmanager konnte ich beobachten, wie die Datei pev.3xe immer größer wurde und schließlich an die 2 GB Grenze kam. Danach fing es wieder von vorne an, also bei 2 MB.

Ich habe ein paar Screenshots gemacht um das Ganze zu dokumentieren (Siehe Anhang). Bitte versteht, dass ich nicht die gesamten Screenshot als Text tippen kann ;). Vlt. wir aber dadurch etwas ersichtlich und es hilft. Sie sind chronologisch geordnet und bei den letzten habe ich noch die Uhrzeiten dazugeschrieben.

Wie sollen wir nun weiter fortfahren?

Danke!

Am Anfang
http://www.abload.de/img/c7ok5d.jpg

Verschiedene Fehlermeldungen
http://www.abload.de/img/d61kw4.jpg

http://www.abload.de/img/e86ku1.jpg

heute, 8:30 Uhr - Ich habe das Fenster einfach geschlossen, die pev.3xe hat trotzdem weiter gearbeitet.
http://www.abload.de/img/g8.30xpjbw.jpg

11:45 Uhr - Die pev.3xe ist bal 2 GB groß. Hier frage ich mich zudem noch was das für Prozesse sind die ich noch mit einem "?" markiert habe. CF19917.exe / conhost.exe / csrss.exe
http://www.abload.de/img/h11.45jajhd.jpg

11:46 Uhr - Nun (eine Minute später) ist die pev.3xe wieder sehr klein (3,5 MB).
http://www.abload.de/img/i11.4692k45.jpg

11:48 Uhr - Und nun arbeitet die AVKbap64.exe auf Hochtouren
http://www.abload.de/img/k11.48j6ktp.jpg

gibt im combofix ordner eine quarantainedfiles.txt wenn ja, mal inhalt posten