Trojaner-Board - GVU Trojaner eingefangen, brauche bitte Hilfe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU Trojaner eingefangen, brauche bitte Hilfe (https://www.trojaner-board.de/130030-gvu-trojaner-eingefangen-brauche-bitte-hilfe.html)

GVU Trojaner eingefangen, brauche bitte Hilfe

Hallo zusammen

Jetzt habe ich mir auch diesen GVU Trojaner eingefangen und weiß nicht mehr weiter.
Habe gegooglet aber nichts funktioniert.
Ich habe windows XP.
Wenn ich den abgesicherten Modus starte erscheint wieder die Meldung des Trojaners und ich kann nichts machen.
Habe es dann mit dem Kaspersky WindowsUnlocker probiert, bin die einzelnen Schritte durchgegangen und habe einen kompletten Scan über mehrere Stunden durchgeführt, hat alles nichts gebracht.
Jetzt weiß ich nicht mehr weiter und brauche bitte Hilfe, da ich auch eigentlich nicht so viel Ahnung davon habe.
Ich würde mich über Hilfe super freuen und bedanke mich schon im vorraus.

Danke Maik

:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart

Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick

Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.

Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).

Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter

Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.

Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.

Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.

Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Hallo und schonmal Danke für deine schnelle Antwort und Hilfe
Habe HitmanPro auf den Stick gezogen und alles nach deiner Anleitung gemacht
starte vom Stick, dann fährt er auf den GVU Bildschirm hoch, der erscheint kurz, dann blinkt ganz kurz das Fenster von Hitman auf, dann gleich wieder der Trojaner und dann fährt der Computer runter.
Es erschein der Blaue Windows- Bildschirm mit der Meldung:
Es wurde ein Problem festgestellt . Windows wurde herunter gefahren, damit der Computer nicht beschädigt wird.

Ein für das Betriebssystem wesentlicher Prozess oder Thread wurde unerwarteterweise abgebrochen oder beendet.

Wenn Sie diese Fehlermeldung zum ersten Mal angezeigt bekommen, ........

Egal ob mit Methode 1 oder 2.

Irgendeine weitere vorgehensweise?!
Und nochmal Vielen Dank
Maik

Kannst du mir bitte den Fehlercode von dem Bluescreen abschreiben?

Hallo
Reicht das oder den ganzen anderen Text auch noch?!

Technische Information
*** STOP : 0x000000F4 (0x00000003,0x862A5BB8,0x862A5D2C,0x805F9F88)

Speicherabbild des physischen Speichers wird erstellt.
Abbild des Physischen Speichers wurde erstellt.
Wenden Sie sich an den Systemadministrator oder den technischen Support.

Ich hoffe du kannst damit was anfangen.

Danke

Das reicht vollkommen aus. Danke.

Wir probieren es mal anders:

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

Batch-Datei vorbereiten
- Drücke Windowstaste + R > notepad (eintippen) > Enter
  Kopiere den folgenden Text vollständig in das Fenster:
  
  Code:
  
  @echo off copy %0\..\combofix.exe "%userprofile%"\desktop "%userprofile%"\desktop\combofix.exe
- Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
Combofix kopieren
- Lade dir Combofix von einem dieser Downloadlinks: Link
- Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
Start mit Eingabeaufforderung
- Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
- Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
- Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
Laufwerksbuchstaben finden und Combofix starten
- Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
- Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
- Wenn du es gefunden hast tippe start.bat (Enter)
- Combofix sollte jetzt starten.
- Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
- Übergehe alle Warnungen mit OK.
Logfile posten
- Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
- Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
- Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
- Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo
und schon mal aller besten Dank das hat geklappt ich kann wieder voll zugreifen auf mein System.
Hier ist erstmal die Logfile

Code:

ComboFix 13-01-24.02 - mussja 24.01.2013  21:45:20.1.1 - x86 MINIMAL

ausgeführt von:: c:\dokumente und einstellungen\mussja\desktop\ComboFix.exe

Benutzte Befehlsschalter :: \desktop\combofix.exe

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
  ADS - WINDOWS: deleted 72 bytes in 1 streams. 

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokume~1\mussja\LOKALE~1\Temp\dYSEvWR.exe

c:\dokumente und einstellungen\All Users\Anwendungsdaten\RWvESYd.pad

c:\dokumente und einstellungen\mussja\7264339.exe

c:\dokumente und einstellungen\mussja\Lokale Einstellungen\Temp\dYSEvWR.exe

c:\dokumente und einstellungen\mussja\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-12-24 bis 2013-01-24  ))))))))))))))))))))))))))))))

.

.

2013-01-24 20:01 . 2013-01-24 20:01        30616        ----a-w-        c:\windows\system32\drivers\hitmanpro37.sys

2013-01-24 19:42 . 2013-01-24 19:42        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HitmanPro

2013-01-23 17:50 . 2013-01-24 17:41        --------        d---a-w-        C:\Kaspersky Rescue Disk 10.0

2013-01-22 17:18 . 2013-01-22 17:18        3163        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\RWvESYd.js

2013-01-11 16:19 . 2013-01-11 16:17        859072        ----a-w-        c:\windows\system32\npDeployJava1.dll

2013-01-11 16:18 . 2013-01-11 16:17        93640        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2012-12-26 12:33 . 2012-12-26 12:33        --------        d-----w-        c:\programme\iPod

2012-12-26 12:32 . 2012-12-26 12:34        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\188F1432-103A-4ffb-80F1-36B633C5C9E1

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll

2012-12-26 11:54 . 2012-12-26 11:54        159744        ----a-w-        c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll

2012-12-26 11:52 . 2012-12-26 11:54        --------        d-----w-        c:\programme\QuickTime

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-11 16:17 . 2010-11-10 18:54        143872        ----a-w-        c:\windows\system32\javacpl.cpl

2013-01-11 16:17 . 2010-11-10 18:54        779704        ----a-w-        c:\windows\system32\deployJava1.dll

2013-01-11 16:03 . 2012-05-08 16:11        74248        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-11 16:03 . 2012-05-08 16:11        697864        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]

"vptray"="c:\programme\NavNT\vptray.exe" [2001-09-26 73728]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]

"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-07-15 999424]

"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-07-01 303104]

"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-11-28 59280]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2012-10-25 421888]

"iTunesHelper"="g:\programme\Programme\itunes\iTunesHelper.exe" [2012-12-12 152544]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

"Tune2001"="c:\programme\Tune 2001\Tune2001.exe" [2001-03-03 1286144]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

.

c:\dokumente und einstellungen\mussja\Startmenü\Programme\Autostart\

runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]

.

c:\dokumente und einstellungen\mussja\Startmenü\Programme\Autostart\

runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]

.

c:\dokumente und einstellungen\mussja\Startmenü\Programme\Autostart\

runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Ashampoo Magical Defrag.lnk - g:\programme\Schutz\Ashampoo Magical Defrag\bin\aDefragCtrl.exe [2007-3-31 4538672]

.

c:\dokumente und einstellungen\mussja\Startmenü\Programme\Autostart\

runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MaxRecentDocs"= 6 (0x6)

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages        REG_MULTI_SZ           msv1_0 nwprovau

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]

@=""

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHOTOfunSTUDIO 6.1 HD Lite Edition.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO 6.1 HD Lite Edition.lnk

backup=c:\windows\pss\PHOTOfunSTUDIO 6.1 HD Lite Edition.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Steuer-Sparbuch heute.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk

backup=c:\windows\pss\WISO Mein Steuer-Sparbuch heute.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]

2012-11-28 13:13        59280        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]

2006-10-26 17:48        434528        ----a-w-        c:\progra~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB]

2005-12-27 11:36        381440        ----a-w-        h:\programme\Muiltmedia keyboard Utility\1.3\KBDAP32A.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE]

2005-12-27 11:35        360448        ----a-w-        h:\programme\Browser MOUSE\mouse32a.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2006-10-26 22:47        31016        ----a-w-        c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2012-12-12 12:57        152544        ----a-w-        g:\programme\Programme\itunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        ----a-w-        c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2012-10-25 02:12        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_10\bin\jusched.exe"

"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"h:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"h:\\Programme\\Call of Duty\\CoDMP.exe"=

"h:\\Programme\\Call of Duty\\CoDUOMP.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"g:\\Programme\\Programme\\Firefox\\firefox.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"g:\\Programme\\Programme\\itunes\\iTunes.exe"=

.

R0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys [x]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [x]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [x]

R1 Ndisprot;GreenPacket NDIS Protocol Driver;c:\windows\system32\DRIVERS\ndisprot.sys [x]

R2 AAV UpdateService;AAV UpdateService;c:\steuer 2012\AAVUpdateManager\aavus.exe [x]

R2 avg8emc;AVG Free8 E-mail Scanner;g:\progra~1\Schutz\AVGANT~1.5\avgemc.exe [x]

R2 AVMPORT;AVMPORT;c:\windows\System32\drivers\avmport.sys [x]

R2 MarxDev1;MarxDev1; [x]

R2 MarxDev2;MarxDev2; [x]

R2 MarxDev3;MarxDev3; [x]

R2 UI Assistant Service;UI Assistant Service;g:\programme\Programme\Internet o2\Mobile Partner Manager\AssistantServices.exe [x]

R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [x]

R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmwan.sys [x]

R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\DRIVERS\fpcibase.sys [x]

R3 FUS2BASE;FRITZ!Card USB;c:\windows\system32\DRIVERS\fus2base.sys [x]

R3 hitmanpro37;HitmanPro 3.7 Support Driver;c:\windows\system32\drivers\hitmanpro37.sys [x]

R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]

R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS [x]

R3 pcouffin;VSO Software pcouffin;c:\windows\system32\Drivers\pcouffin.sys [x]

R3 SOCKFILT.DLL;Outpost Firewall PlugIn (SOCKFILT.DLL);c:\progra~1\Agnitum\OUTPOS~1\kernel\SOCKFILT.DLL [x]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]

.

.

.

------- Zusätzlicher Suchlauf -------

.

IE: &Preispiratensuche nach markiertem Text - g:\\Programme\\Programme\\Preispiraten4\\preispiraten.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.2.1 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\mussja\Anwendungsdaten\Mozilla\Firefox\Profiles\g06an7tt.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - ExtSQL: 2012-12-14 18:46; toolbar@web.de; c:\dokumente und einstellungen\mussja\Anwendungsdaten\Mozilla\Firefox\Profiles\g06an7tt.default\extensions\toolbar@web.de.xpi

FF - user.js: nglayout.initialpaint.delay - 750

FF - user.js: content.notify.interval - 750000

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: network.http.max-connections-per-server - 6

FF - user.js: network.http.max-persistent-connections-per-server - 3

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

HKLM-Run-Cmaudio - cmicnfg.cpl

HKLM-Run-MCUpdateExe - c:\progra~1\mcafee.com\agent\McUpdate.exe

Notify-avgrsstarter - avgrsstx.dll

SafeBoot-AVG Anti-Spyware Driver

SafeBoot-AVG Anti-Spyware Guard

MSConfigStartUp-CloneCDTray - h:\programme\SlySoft\CloneCD\CloneCDTray.exe

MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe

MSConfigStartUp-HP Software Update - c:\programme\HP\HP Software Update\HPWuSchd2.exe

MSConfigStartUp-Lexmark X5100 Series - c:\programme\Lexmark X5100 Series\lxbabmgr.exe

MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\McUpdate.exe

MSConfigStartUp-msnmsgr - c:\programme\MSN Messenger\msnmsgr.exe

MSConfigStartUp-OutpostFeedBack - c:\programme\Agnitum\Outpost Firewall\feedback.exe

MSConfigStartUp-PhonostarAgent - g:\programme\Player\Radio Player\phonostar\ps_agent.exe

MSConfigStartUp-PhonostarTimer - g:\programme\Player\Radio Player\phonostar\ps_timer.exe

MSConfigStartUp-Uninstall Adobe Download Manager - c:\programme\NOS\bin\getPlus_Helper_3004.dll

AddRemove-The Print Shop Premier Edition 5.0 - c:\windows\unin0407.exe

AddRemove-{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04} - c:\programme\InstallShield Installation Information\{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}\setup.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-01-24 21:54

Windows 5.1.2600 Service Pack 2 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-789336058-515967899-725345543-1003\Software\Zepter Software\RegLib*84fcdaaa\AnyDVD/1]

"1"=dword:444d178e

"2"=dword:44c7cf22

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(292)

c:\windows\system32\NavLogon.dll

.

Zeit der Fertigstellung: 2013-01-24  21:56:53

ComboFix-quarantined-files.txt  2013-01-24 20:56

.

Vor Suchlauf: 1.898.622.976 Bytes frei

Nach Suchlauf: 1.856.110.592 Bytes frei

.

- - End Of File - - 7C51801E001D7968697D07F4DD754523

Ich glaube es ist aber noch nicht alles wieder in Ordnung oder ?
Weil auch keine wiederherstellungskonsole installiert ist.
Hatte auch eine Fehlermeldung beim starten.

RUNDLL

Fehler beim Ladenvon C:\DOKUME~1\mussja\LOKALE~1\Temp\dYSEvWR.exe
Das angegebene Modul wurde nicht gefunden.

Oder hat das was mit dem Trojaner zu tun?

Nochmals Vielen Dank für deine super Hilfe.
Vielen DAnk Maik

Sind eben noch Reste. Das machen wir jetzt:

Schritt 1:
Wieder normal booten.

Schritt 2:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
Starte die adwcleaner.exe mit einem Doppelklick.

Klicke auf Löschen.

Bestätige jeweils mit Ok.

Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.

Poste mir den Inhalt mit deiner nächsten Antwort.

Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 3:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 4:
Windows Dienst reparieren (winmgmt)

Lade dir bitte die folgende Datei herunter:

Für Windows XP: LINK
Für Windows Vista: LINK
Für Windows 7: LINK
Für Windows 8: LINK

Doppelklicke sie und lasse die Informationen zur Registry hinzufügen.

Schritt 5:
reboot

Schritt 6:
Neues Logfile mit Combofix erstellen.

Hi
Hier ist schon mal die Logfile von AdwCleaner

Code:

# AdwCleaner v2.108 - Datei am 25/01/2013 um 17:07:00 erstellt

# Aktualisiert am 24/01/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)

# Benutzer : mussja - MUSSJA1

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\mussja\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ\ICQToolbar
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v6.0.2900.2180
 

[OK] Die Registrierungsdatenbank ist sauber.
 

-\\ Opera v11.64.1403.0
 

Datei : C:\Dokumente und Einstellungen\mussja\Anwendungsdaten\Opera\Opera\operaprefs.ini
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [1085 octets] - [25/01/2013 17:07:00]
 

########## EOF - C:\AdwCleaner[S1].txt - [1145 octets] ##########

Hallo
Habe jetzt die Schritte 1 bis 6 ausgeführt.
Hatte zwischendurch allerdings ein paar problem erst wollte kein Browser mehr starten, dann hatte ich eine Windows- Fehlermelung.
Nach einigen Neustarts funktionieren die Browser wieder und die Fehler- Meldung ist auch weg.:crazy:
Allerdings erscheint die

Zitat:

RUNDLL

Fehler beim Ladenvon C:\DOKUME~1\mussja\LOKALE~1\Temp\dYSEvWR.exe
Das angegebene Modul wurde nicht gefunden.

Fehlermeldung immer noch bei jedem Neustart.
Vielen Dank schon mal für deine Antwort.
Maik

Und wo ist dann das neue Combofix logfile?

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo
Ja brauch noch Hilfe tut mir leid das ich jetzt erst schreibe hatte vorher keine zeit.
Auf jeden Fall Danke das du mir noch weiter hilfst.

Konnte die Combofix logfile nicht "posten" als das Programm durchgelaufen war konnte ich nichts mehr machen konnte irgendetwas anklicken aber nichts passierte. Musste den Rechner per Reset Knopf neu starten.

Jetzt kommt bei jedem Start die Fehlermeldung:
Das System wird nach einem Schwerwiegendem Fehler wieder ausgeführt.
Für diesen Fehler wurde ein Protokoll erstellt.
Für weitere Informationen zu diesem Fehler klicken Sie hier.

Und dann:

Problemsignatur
BCCode : f4 BCP1 : 00000003 BCP2 : 865B5DA0 BCP3 : 865B5F14
BCP4 : 805F9F88 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Um technische Informationen zu dem Problembericht zu sehen, klicken Sie hier.

Und dann:

C:\DOKUME~1\mussja\LOKALE~1\Temp\WER9466.dir00\Mini012413-05.dmp
C:\DOKUME~1\mussja\LOKALE~1\Temp\WER9466.dir00\sysdata.xml

Ich hoffe das hilft dir weiter.
Danke Maik

Das hilft mir aus der Ferne leider gar nichts.

Kannst du wenigstens abgesichert Booten?

Also ich kann jetzt auch ganz normal starten und dann funktioniert alles kommen halt nur die Fehlermeldungen aber dann funktioniert alles.
Ging nur direkt nach Combofix nichts.
Gruß Maik

Ich verstehe.

Dann probiere bitte die Combofix.exe umzubenennen in NoMBR.exe und lass es nochmals laufen. Falls das Misslingt, dann im abgesicherten Modus.