Altbekannter BKA/UKash Trojaner-Probleme mit OTLPE

LiluLili · 11.06.2011, 20:59

Hallo allerseits,

versuch hier gerade den altbekannten UKASH/BKA-Trojaner/Virus vom PC einer Freundin zu entfernen, PC ist ein HP PAvilion SLimline, bin dem Administratorleitfaden gefolgt und habe die OTLP CD gebrannt, bin gerade auch auf dem Reatogo-Desktop, allerdings steck ich jetzt fest.

Und Zwar erscheint nachdem ich das OTLP-Icon doppelklicke eine Auswahl der Festplatten , wähle ich einfach My computer , erscheint der Dialog: No Windows installation found.

Sollte ichs einfach mal mit der Kaspersky-CD versuchen? Oder ist das einfach nur ein Anfängerproblem.

Grüße und vielen Dank für die Hilfe,
LiluLili

cosinus · 14.06.2011, 12:51

Hast du dich genau an diese Anleitung gehalten?

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

LiluLili · 15.06.2011, 11:44

halli hallo,

will nicht klugscheisserisch daherkommen, aber ich finde im Leitfaden könnte noch der Zwischenschritt : "Wähle Windowsverzeichnis aus." hinzugefügt werden, dann hätt ichs auch gecheckt

( ich sage nur , immer den DAU im Blick haben)

Habs jetzt aber auch geschafft und poste jetzt mal meine OTL.txt(die extra.txt hat er nicht ausgespuckt.

Danke für die Hilfe,
LiluLili

LiluLili · 15.06.2011, 11:49

Und hier noch mal die OTL.txt mit der Einstellung 90 Tage und früher (Infizierung war am 18. April )

Code:

ATTFilter

OTL logfile created on: 6/15/2011 4:34:37 PM - Run 
OTLPE by OldTimer - Version 3.1.46.0     Folder = X:\Programs\OTLPE
Windows Vista (TM) Home Premium  (Version = 6.0.6000) - Type = System
Internet Explorer (Version = 8.0.6001.18904)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 458.39 Gb Total Space | 410.26 Gb Free Space | 89.50% Space Free | Partition Type: NTFS
Drive H: | 7.37 Gb Total Space | 0.98 Gb Free Space | 13.25% Space Free | Partition Type: NTFS
Drive I: | 14.98 Gb Total Space | 13.62 Gb Free Space | 90.93% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 90 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010/10/06 07:39:27 | 002,002,728 | ---- | M] (TeamViewer GmbH) [Auto] -- C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5)
SRV - [2010/09/07 11:11:59 | 000,040,384 | ---- | M] (AVAST Software) [On_Demand] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Web Scanner)
SRV - [2010/09/07 11:11:59 | 000,040,384 | ---- | M] (AVAST Software) [On_Demand] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Mail Scanner)
SRV - [2010/09/07 11:11:59 | 000,040,384 | ---- | M] (AVAST Software) [Auto] -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe -- (avast! Antivirus)
SRV - [2009/07/14 23:24:13 | 000,265,912 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (USBModem)
DRV - File not found [Kernel | On_Demand] --  -- (usbbus)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand] --  -- (IpInIp)
DRV - File not found [Kernel | On_Demand] --  -- (Afc)
DRV - [2010/09/07 10:52:25 | 000,046,672 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswTdi.sys -- (aswTdi)
DRV - [2010/09/07 10:52:03 | 000,165,584 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswSP.sys -- (aswSP)
DRV - [2010/09/07 10:47:46 | 000,023,376 | ---- | M] (AVAST Software) [Kernel | System] -- C:\Windows\System32\drivers\aswRdr.sys -- (aswRdr)
DRV - [2010/09/07 10:47:30 | 000,050,768 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\Windows\System32\drivers\aswMonFlt.sys -- (aswMonFlt)
DRV - [2010/09/07 10:47:07 | 000,017,744 | ---- | M] (AVAST Software) [File_System | Auto] -- C:\Windows\System32\drivers\aswFsBlk.sys -- (aswFsBlk)
DRV - [2008/02/26 03:17:30 | 000,493,568 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\netr73.sys -- (netr73)
DRV - [2007/07/09 20:35:38 | 002,769,408 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2007/07/02 13:37:08 | 000,110,112 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007/05/03 14:29:10 | 001,065,384 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007/01/25 22:42:50 | 002,831,232 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2005/12/12 13:27:00 | 000,019,072 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand] -- C:\Windows\System32\drivers\PS2.sys -- (Ps2)
DRV - [2005/03/15 11:04:00 | 000,161,792 | ---- | M] (OmniVision Technologies, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ov530vid.sys -- (ovt530)
DRV - [2003/11/28 13:34:40 | 000,011,264 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand] -- C:\Windows\System32\drivers\asapiW2k.sys -- (ASAPIW2K)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
IE - HKLM\..\URLSearchHook: {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHP1.dll (Conduit Ltd.)
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\mimushi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
IE - HKU\mimushi_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2102572
IE - HKU\mimushi_ON_C\Software\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\mimushi_ON_C\..\URLSearchHook: {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHP1.dll (Conduit Ltd.)
IE - HKU\mimushi_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\mimushi_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\html5video [2010/12/25 12:39:33 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Program Files\DivX\DivX Plus Web Player\firefox\wpa [2010/12/25 12:39:33 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files\ClickPotatoLite\bin\10.0.632.0\firefox\extensions [2011/01/02 07:00:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/03/27 03:16:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/03/27 03:16:46 | 000,000,000 | ---D | M]
 
[2009/11/07 06:04:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2010/12/31 14:05:18 | 000,087,344 | ---- | M] (Pinball Corporation.) -- C:\Program Files\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll
[2011/03/06 04:48:12 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011/03/06 04:48:12 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011/03/06 04:48:12 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011/03/06 04:48:12 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011/03/06 04:48:12 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/09/18 17:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHP1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (PHPNukeDE Toolbar) - {c9508125-4747-4733-b048-e4b82dc9716d} - C:\Program Files\PHPNukeDE\tbPHP1.dll (Conduit Ltd.)
O3 - HKU\mimushi_ON_C\..\Toolbar\WebBrowser: (PHPNukeDE Toolbar) - {C9508125-4747-4733-B048-E4B82DC9716D} - C:\Program Files\PHPNukeDE\tbPHP1.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [DivX Download Manager] C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [hpsysdrv] C:\hp\support\hpsysdrv.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [MSConfig] C:\Windows\System32\msconfig.exe (Microsoft Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\LocalService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\mimushi_ON_C..\Run: [attrcmd]  File not found
O4 - HKU\NetworkService_ON_C..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Launcher] C:\Windows\SMINST\Launcher.exe (soft thinks)
O4 - Startup: Error locating startup folders.
O7 - HKU\mimushi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0
O7 - HKU\mimushi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\mimushi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\mimushi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
O9 - Extra Button: Amazon (amazon.de) - {603D3CE5-33BC-4d51-A31E-613A2B826E21} - C:\Users\mimushi\AppData\Roaming\IEButtons\toolbutton2.js ()
O9 - Extra Button: easy Shopping - {804420A5-7F05-4ee9-92F2-D2B644AD9102} - C:\Users\mimushi\AppData\Roaming\IEButtons\toolbutton3.js ()
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.632.0\ClickPotatoLiteSABHO.dll (Pinball Corporation)
O9 - Extra Button: eBay (ebay.de) - {C376BD23-6DC3-4e10-9ED0-AB8C0444E45C} - C:\Users\mimushi\AppData\Roaming\IEButtons\toolbutton1.js ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\mimushi_ON_C Winlogon: Shell - (C:\Users\mimushi\AppData\Local\Temp\0.9997650426481889.exe) - C:\Users\mimushi\AppData\Local\Temp\0.9997650426481889.exe (Jjwblwxw Usxxiowb)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/07/14 14:14:53 | 000,000,074 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 90 Days ==========
 
[2011/03/27 13:54:39 | 000,000,000 | ---D | C] -- C:\Users\mimushi\Desktop\act-klausur
 
========== Files - Modified Within 90 Days ==========
 
[2011/06/15 09:22:00 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011/06/15 09:21:14 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/06/15 09:19:58 | 000,003,456 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011/06/15 09:19:58 | 000,003,456 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011/06/15 09:19:58 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/06/15 09:19:48 | 2145,968,128 | -HS- | M] () -- C:\hiberfil.sys
[2011/06/11 13:29:17 | 000,641,106 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011/06/11 13:29:17 | 000,609,944 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011/06/11 13:29:17 | 000,116,500 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011/06/11 13:29:17 | 000,103,726 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011/04/14 15:18:40 | 000,973,983 | ---- | M] () -- C:\Users\mimushi\Desktop\Picture 008.jpg
[2011/04/14 15:18:20 | 001,007,568 | ---- | M] () -- C:\Users\mimushi\Desktop\Picture 010.jpg
[2011/04/10 17:52:41 | 000,172,976 | ---- | M] () -- C:\Users\mimushi\Desktop\alfa3.jpg
[2011/04/10 17:51:58 | 000,172,140 | ---- | M] () -- C:\Users\mimushi\Desktop\alfa2.jpg
[2011/04/10 17:51:32 | 000,176,602 | ---- | M] () -- C:\Users\mimushi\Desktop\alfa1.jpg
[2011/04/10 13:48:26 | 000,000,608 | ---- | M] () -- C:\Users\mimushi\AppData\Roaming\wklnhst.dat
[2011/03/24 11:49:15 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight
 
========== Files Created - No Company Name ==========
 
[2011/04/14 15:17:58 | 000,973,983 | ---- | C] () -- C:\Users\mimushi\Desktop\Picture 008.jpg
[2011/04/14 15:17:25 | 001,007,568 | ---- | C] () -- C:\Users\mimushi\Desktop\Picture 010.jpg
[2011/04/10 17:52:41 | 000,172,976 | ---- | C] () -- C:\Users\mimushi\Desktop\alfa3.jpg
[2011/04/10 17:51:57 | 000,172,140 | ---- | C] () -- C:\Users\mimushi\Desktop\alfa2.jpg
[2011/04/10 17:51:32 | 000,176,602 | ---- | C] () -- C:\Users\mimushi\Desktop\alfa1.jpg
[2011/02/16 15:27:58 | 000,028,672 | ---- | C] () -- C:\Windows\System32\ole3232.dll
[2010/10/17 06:52:17 | 000,815,104 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2010/10/17 06:52:17 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2009/11/27 16:47:55 | 000,000,005 | ---- | C] () -- C:\Windows\System32\SySCut.dat
[2009/11/27 16:47:04 | 000,003,082 | ---- | C] () -- C:\Windows\System32\affv11300p2now.sys
[2009/11/10 18:19:07 | 000,000,608 | ---- | C] () -- C:\Users\mimushi\AppData\Roaming\wklnhst.dat
[2009/09/12 11:24:05 | 000,008,836 | ---- | C] () -- C:\Windows\System32\ezdigsgn.dat
[2009/08/23 05:42:37 | 000,147,997 | ---- | C] () -- C:\Windows\hpoins12.dat
[2009/08/23 05:42:36 | 000,001,470 | ---- | C] () -- C:\Windows\hpomdl12.dat
[2009/08/16 17:18:11 | 000,044,032 | ---- | C] () -- C:\Users\mimushi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/08/02 14:34:22 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009/07/14 23:35:34 | 000,003,072 | ---- | C] () -- C:\Windows\System32\34CoInstaller.dll
[2009/07/14 23:14:05 | 000,641,106 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/07/14 23:14:05 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/07/14 23:14:05 | 000,116,500 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/07/14 23:14:05 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/07/14 14:05:29 | 000,114,973 | ---- | C] () -- C:\Windows\hpqins13.dat
[2009/07/14 13:59:20 | 003,107,788 | ---- | C] () -- C:\Windows\System32\atiumdva.dat
[2009/07/14 13:59:20 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2009/07/14 13:59:20 | 000,144,773 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2009/07/14 13:59:20 | 000,081,920 | ---- | C] () -- C:\Windows\System32\ATIODE.exe
[2009/07/14 13:59:20 | 000,040,960 | ---- | C] () -- C:\Windows\System32\ATIODCLI.exe
[2009/07/14 13:54:11 | 000,061,440 | ---- | C] () -- C:\Windows\System32\OsdRemove.exe
[2009/07/14 13:51:35 | 000,327,680 | ---- | C] () -- C:\Windows\System32\pythoncom25.dll
[2009/07/14 13:51:35 | 000,102,400 | ---- | C] () -- C:\Windows\System32\pywintypes25.dll
[2008/07/23 12:50:52 | 003,596,288 | ---- | C] () -- C:\Windows\System32\qt-dx331.dll
[2007/07/19 11:07:52 | 000,000,000 | ---- | C] () -- C:\Windows\System32\px.ini
[2006/12/13 17:01:36 | 000,520,192 | ---- | C] () -- C:\Windows\System32\CddbPlaylist2Roxio.dll
[2006/12/13 17:01:36 | 000,204,800 | ---- | C] () -- C:\Windows\System32\CddbFileTaggerRoxio.dll
[2006/11/02 08:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006/11/02 08:47:37 | 000,432,264 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006/11/02 08:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006/11/02 06:33:01 | 000,609,944 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006/11/02 06:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006/11/02 06:33:01 | 000,103,726 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006/11/02 06:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006/11/02 06:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006/11/02 04:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006/11/02 04:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006/11/02 03:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006/11/02 03:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006/11/02 03:22:43 | 000,099,999 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2006/11/02 03:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2003/08/07 09:01:50 | 000,237,568 | ---- | C] () -- C:\Windows\System32\lame_enc.dll
 
========== LOP Check ==========
 
[2010/12/18 08:16:43 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\BSplayer PRO
[2011/01/02 07:00:29 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\ClickPotatoLite
[2010/08/23 08:27:20 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\digital publishing
[2009/11/13 13:58:41 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\DirectCard Updater
[2010/12/28 09:17:32 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\DVDVideoSoftIEHelpers
[2010/09/26 12:34:52 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\gtk-2.0
[2010/07/23 03:32:48 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\Gutscheinmieze
[2009/11/07 08:02:16 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\IEButtons
[2010/12/22 05:49:56 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\Image Zone Express
[2009/08/02 12:44:47 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\LG Electronics
[2010/12/25 12:39:36 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\Local
[2009/08/31 14:11:15 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\PixelPlanet
[2010/01/24 15:54:30 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\Printer Info Cache
[2010/10/17 06:43:04 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\TeamViewer
[2009/11/10 18:19:09 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\Template
[2010/12/28 09:06:54 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\UseNeXT
[2009/11/13 13:58:52 | 000,000,000 | ---D | M] -- C:\Users\mimushi\AppData\Roaming\weather9
[2011/01/02 07:00:29 | 000,000,000 | ---D | M] -- C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
[2010/10/15 10:09:56 | 000,000,000 | ---D | M] -- C:\ProgramData\Alwil Software
[2009/07/14 15:17:26 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2011/01/02 07:12:38 | 000,000,000 | ---D | M] -- C:\ProgramData\ClickPotatoLiteSA
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2009/07/14 15:17:26 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2009/07/14 15:17:26 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2009/07/14 14:14:36 | 000,000,000 | ---D | M] -- C:\ProgramData\muvee Technologies
[2009/07/14 14:20:09 | 000,000,000 | ---D | M] -- C:\ProgramData\PC-Doctor
[2009/08/31 14:12:18 | 000,000,000 | ---D | M] -- C:\ProgramData\PixelPlanet
[2009/11/27 20:53:04 | 000,000,000 | ---D | M] -- C:\ProgramData\PopCap Games
[2006/11/02 09:02:03 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2009/07/14 15:17:26 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2006/11/02 09:02:04 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2009/07/14 15:17:26 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2009/11/27 19:11:19 | 000,000,000 | ---D | M] -- C:\ProgramData\Zylom
[2011/01/31 15:07:19 | 000,000,000 | ---D | M] -- C:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/10/21 02:55:15 | 000,000,000 | ---D | M] -- C:\ProgramData\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009/10/19 17:00:26 | 000,000,000 | ---D | M] -- C:\ProgramData\{B3C2C1CD-6B77-4A96-B670-F734AC2A1CBC}
[2011/06/15 09:21:58 | 000,032,616 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

Nur mal so testweise,
wäre das hier der richtige fix?

Code:

ATTFilter

:OTL
O20 - HKU\mimushi_ON_C Winlogon: Shell - (C:\Users\mimushi\AppData\Local\Temp\0.9997650426481889.exe) - C:\Users\mimushi\AppData\Local\Temp\0.9997650426481889.exe (Jjwblwxw Usxxiowb)


:Files
C:\Users\mimushi\AppData\Local\Temp\0.9997650426481889.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

cosinus · 15.06.2011, 12:22

Ja, im Prinzip ist der Fix richtig. Aber die temps würde ich nicht leeren, lass also am besten diese beiden weg - Grund ist, dass manche Schädlinge das Startmenü leerfegen und diese Verknüpfungen in %tmp%\smtmp ablegen. Wenn die Temps geleert werden erschwert uns das das Wiederherstellen.

[EMPTYFLASH]
[emptytemp]

Schau nach, ob Windows danach wieder normal startet. Wenn ja, stellst du uns bitte den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

LiluLili · 15.06.2011, 13:50

So, war im Prinzip erfolgreich...erster Startvorgang ohne Probleme, jedoch Anzeigen ,dass ein paar *.dll vermisst würden. Dann Neustart, Probleme beim laden/hochfahren, Starthilfe in Anspruch genommen, zur Zeit stellt der PC einen Wiederherstellungszeitpunkt wieder her.
Halte euch auf dem Laufenden.

Altbekannter BKA/UKash Trojaner-Probleme mit OTLPE

Plagegeister aller Art und deren Bekämpfung: Altbekannter BKA/UKash Trojaner-Probleme mit OTLPE