Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   virus verweigert del befehlt in abgesichertem modus mit befehlseingabe.... was habe ich noch zur auswahl? (https://www.trojaner-board.de/131874-virus-verweigert-del-befehlt-abgesichertem-modus-befehlseingabe-habe-noch-auswahl.html)

timo_path 06.03.2013 20:33
virus verweigert del befehlt in abgesichertem modus mit befehlseingabe.... was habe ich noch zur auswahl?
 
Liste der Anhänge anzeigen (Anzahl: 2)
Hi,
also ich habe den Laptop meiner Freundin bekommen weil sie den GVU-Virus drauf hat.
Kein "STRG+ALT+ENTF" bzw Taskmanager öffnen möglich also aus und den abgesicherten Modus versucht.
Virus kommt und nichts mehr möglich.
Also abgesicherter Modus mit Befehlseingabe gestartet
-> taskmgr.exe -> neuer task und msconfig geöffnet
Dort alles ausgemacht doch einer aktiviert sich immer wieder von alleine (siehe Bilder)
Er versteckt sich in einer system32/rundll.exe.... dokume~\caro\.....dll.M1N1
Ok da ich nicht in die Desktopansicht komme möchte ich ihn per del befehlt löschen (siehe Bilder) aber er verweigert den zugriff.
Es ist mir nicht möglich ihn zu löschen!
Kann mir jemand helfen denn mehr hab ich selbst nicht auf dem Kasten. Keine ahnung was jetzt noch möglich ist.
Habe auch schon alle rescue Disks von Antivir, Kaspersky und noch irgendwas versucht.
Alle ohne erfolg.
Wär echt super denn sie braucht den Laptop dringend und da wichtige Daten darauf sind kommt plat machen nicht in frage.
MFG Timo

ryder 06.03.2013 22:01
Aber du könntest uns erstmal verraten, ob Win XP oder 7 ?

timo_path 06.03.2013 22:07
sorry


es ist xp drauf

ryder 06.03.2013 22:11
:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Batch-Datei vorbereiten
    • Drücke Windowstaste + R > notepad (eintippen) > Enter
      Kopiere den folgenden Text vollständig in das Fenster:
      Code:
      @echo off
      copy %0\..\combofix.exe "%userprofile%"\desktop
      "%userprofile%"\desktop\combofix.exe
    • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
  2. Combofix kopieren
    • Lade dir Combofix von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  3. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  4. Laufwerksbuchstaben finden und Combofix starten
    • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
    • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
    • Wenn du es gefunden hast tippe start.bat (Enter)
    • Combofix sollte jetzt starten.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle Warnungen mit OK.
  5. Logfile posten
    • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

timo_path 07.03.2013 17:24
Ok
ich ab es bis auf den letzten Punkt geschaft.
Habe die start.bat erstellt und die combifix runtergeladen, beides auf einen USB-Stick und den Laptop im Abgesicherten Modus mit befehlseingabe gestartet.
Konnte die datei starten und kann den laptop wieder im abgesicherten modus mit desktopansicht starten.
Aber was ist ein Logfile, wie oder wo finde ich ihn?
Auf dem desktop ist jetzt die ComboFix.exe hinterlegt und unter C: ist eine datei namens ComboFix aber weis nicht was es für eine ist.
Wenn ich drauf klicke öffnet sich das Arbeitsplatz fenster.

So und jetzt erst mal ein großes Dankeschön für die bisherige Hilfe den das hätte ich wohl nie mehr hinbekommen.
Danke!!!

ryder 07.03.2013 18:06
Du solltest jetzt wieder normal starten können.

Bitte finde die Datei c:\combofix.txt und füge sie hier ein:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307

timo_path 07.03.2013 20:11
Liste der Anhänge anzeigen (Anzahl: 1)
Code:
ComboFix 13-03-07.02 - Caro 07.03.2013  19:50:24.1.2 - x86 MINIMAL
ausgeführt von:: c:\dokumente und einstellungen\Caro\desktop\ComboFix.exe
Benutzte Befehlsschalter :: \desktop\combofix.exe
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\1133186.js
c:\dokumente und einstellungen\All Users\Anwendungsdaten\1133186.pad
c:\dokumente und einstellungen\Caro\6813311.dll
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Caro\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Caro\Recent\Thumbs.db
c:\dokumente und einstellungen\Caro\WINDOWS
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-02-07 bis 2013-03-07  ))))))))))))))))))))))))))))))
.
.
2013-03-04 21:15 . 2013-03-04 21:15        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2013-03-03 12:17 . 2013-03-03 12:17        --------        d-----w-        c:\windows\Sun
2013-02-24 12:01 . 2013-02-24 12:01        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-04 10:17 . 2010-11-26 20:37        44544        ----a-w-        c:\windows\system32\agremove.exe
2013-01-02 09:57 . 2012-10-31 12:43        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2013-01-02 09:57 . 2011-08-26 06:43        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2011-05-09 09:49        176936        ----a-w-        c:\programme\softonic-de3\prxtbsof2.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\prxtbsof2.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
.
c:\dokumente und einstellungen\Administrator.CARO-08CA42F2F8\Startmenü\Programme\Autostart\
runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]
.
c:\dokumente und einstellungen\Caro\Startmenü\Programme\Autostart\
runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-3 33792]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2009-05-21 19:48        34080        ----a-w-        c:\programme\Lenovo\HOTKEY\tphklock.dll
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Caro^Startmenü^Programme^Autostart^OpenOffice.org 3.3.lnk]
path=c:\dokumente und einstellungen\Caro\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Caro^Startmenü^Programme^Autostart^runctf.lnk]
path=c:\dokumente und einstellungen\Caro\Startmenü\Programme\Autostart\runctf.lnk
backup=c:\windows\pss\runctf.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35        946352        ----a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-30 15:45        35736        ----a-w-        c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
2006-08-30 15:40        89542        ----a-w-        c:\windows\AGRSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 17:43        69632        ----a-w-        c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-08-27 20:32        59280        ----a-w-        c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-08-02 15:09        281768        ----a-w-        c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
2006-01-25 17:45        53248        ------w-        c:\programme\Realtek\InstallShield\AzMixerSel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd]
2009-01-19 06:37        1150976        ----a-r-        c:\programme\Brother\Brmfcmon\BrMfcWnd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Broadcom Wireless Manager UI]
2006-10-12 15:28        1282048        ----a-w-        c:\windows\system32\WLTRAY.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter3]
2009-01-09 13:53        114688        ----a-w-        c:\programme\Brother\ControlCenter3\BrCtrCen.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-03 22:57        15360        ----a-w-        c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2008-07-09 21:05        46368        ----a-w-        c:\programme\ScanSoft\PaperPort\IndexSearch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-09-09 22:30        421776        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-03-21 21:31        1622016        ----a-w-        c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2008-07-09 21:07        29984        ----a-w-        c:\programme\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMHandler]
2007-03-16 04:26        31840        ----a-w-        c:\progra~1\Lenovo\PMDRIV~1\PMHandler.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-07-05 16:36        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-01-30 17:54        16116224        ----a-w-        c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-01-08 13:45        18708224        ----a-r-        c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 17:04        2879488        ----a-w-        c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03        210472        ----a-w-        c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44        248552        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2006-05-19 13:51        774233        ----a-w-        c:\programme\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPWAUDAP]
2008-03-11 12:33        54560        ----a-w-        c:\programme\Lenovo\HOTKEY\TpWAudAp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\drivers\smiif32.sys [12.05.2008 18:04 13480]
R1 PMHler;PMHler;c:\windows\system32\drivers\PMHler.sys [24.05.2006 11:48 10240]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.11.2010 19:13 136360]
R2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [31.08.2006 17:04 65536]
R2 Browser Manager;Browser Manager;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Browser Manager\2.6.1123.78\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [31.01.2013 18:28 2561488]
R2 FNF5SVC;Fn+F5 Service;c:\programme\Lenovo\HOTKEY\FnF5svc.exe [22.11.2010 16:52 54560]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\DRIVERS\cmnsusbser.sys --> c:\windows\system32\DRIVERS\cmnsusbser.sys [?]
S3 filtertdidriver;filtertdidriver;c:\windows\system32\drivers\ewfiltertdidriver.sys --> c:\windows\system32\drivers\ewfiltertdidriver.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys --> c:\windows\system32\DRIVERS\ewusbdev.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2013-03-07 c:\windows\Tasks\Browser Manager.job
- c:\windows\system32\sc.exe [2001-08-18 16:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-NvCplDaemon - c:\windows\system32\NvCpl.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-07 20:06
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\windows\System32\BCMLogon.dll
c:\windows\System32\MSVCP71.dll
.
- - - - - - - > 'explorer.exe'(2660)
c:\programme\iTunes\iTunesMiniPlayer.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\de.lproj\iTunesMiniPlayerLocalized.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Lenovo\PM Driver\PMSveH.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-07  20:09:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-03-07 19:09
.
Vor Suchlauf: 6 Verzeichnis(se), 71.654.461.440 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 79.833.075.712 Bytes frei
.
- - End Of File - - EF849D3881D0E07431616DF1269DB4C8
Also alles funktioniert wieder und der Virus ist entfernt.
Die Autostart funktion vom Virus ist allerdings noch hinterlegt.
Kann ich die auch noch löschen denn der angegebene Pfad C:\startup ist natürlich nicht vorhanden^^
Nochmal richtig fettes Dankeschön!!!

ryder 07.03.2013 20:50
Ja schön ... dann legen wir mal richtig los


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Nochmal normal booten


Schritt 2:
Deinstallation von Programmen
  • Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
  • Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
  • ggf. Neustart zulassen
Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält, sowie Downloader-Anwendungen

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Glary Utilities, Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy, Hotspot Shield, iLivid, Amazon Icon, DriverEasy, Advanced Driver Updater, FireJump, SearchAnonymizer,



Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 4:
Lösche Combofix vom Desktop.


Schritt 5:
Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

ryder 09.03.2013 10:00
Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

ryder 12.03.2013 15:39
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst. Keine Logfiles einsenden, nur kurzer Hinweis.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

ryder 15.03.2013 18:48
Und wo SIND deine nächsten Schritte?

ryder 17.03.2013 13:07
Dieser Thread ist endgültig beendet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131