Jetzt hat es mich oder besser gesagt mein notebook hat ein Malware erwischt. "Der Grund für die Sperrung ist illegales Musik download"; das Problem dürfte aber der alte sein. Ich habe 2 Stunden gegoogelt und habe auch zwei mal versucht das System wiederherrzustellen. Leider vergeblich.
Was soll ich tun?

Ich benutze Windows XP. Im Anhang ist der "Screenshot" mit der Trojaner mesagge. Ich hoffe, ich habe nichts vergessen. Danke für den Support im voraus.

starte mal in den abgesicherten modus mit netzwerk, sollte bei pc start mit f8 gehen.
dann sollte das folgende funktionieren.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo markusg,
danke für die schnelle Antwort.
Ich habe über nicht infiziertes pc OTL auf USB runtergeladen und habe mein infiziertes notebook im angesichertem Modus mit Netzwerkbetreiber gestartet aber wie soll ich OTL auf mein Desktop speichern wenn jedesmal diese GEMA Desktopbild erscheint?? Gibt es ein Trick?

hi,
ok, ich dachte es erscheint dort evtl. nicht.
dann machen wirs anders.
lade auf dem sauberen pc combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

kopiere es auf den stick, stick in den infizierten pc
jetzt starte den pc neu, in den abgesicherten modus mit eingabeaufforderung
tippe:
d:\combofix.exe
enter
falls es nicht das richtige laufwerk ist, dann mit e: f: usw. versuchen
falls der pc nach dcombofix nicht neustartet mach das mal selber und poste das log wenn alles läuft

ich habe richtige laufwerk gefunden und combofix "gestartet". Es kam aber die Meldung:" Combofix hat festgestellt das folgende Real-Time-Scanner aktiv sind: antivirus: AntiVir Desktop---und das bekannt ist dass solche Programme Arbeit von combofix behindern was evtl. zu pc Schäden führen kann und das man diese Scanner deaktivieren soll bevor man auf OK klickt".
Kann ich AntiVir im abgesichertem Modus deaktivieren? Auf Desktop komme ich nicht. Darf ich trotzdem auf OK klicken? Danke...

überspringe das mit klick auf ok

ok. geschafft. hier ist C:\Combofix.txt:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-11-27.02 - Administrator 27.11.2011  18:50:25.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.495.346 [GMT 1:00]
ausgeführt von:: h:\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dwlGina3.dll
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\sx5u7frt55.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\u5hr46sirtijyrt5.exe
c:\dokumente und einstellungen\Lenni\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\tsoc.log
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-27 bis 2011-11-27  ))))))))))))))))))))))))))))))
.
.
2011-11-25 18:03 . 2011-11-27 17:26	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2011-11-11 18:46 . 2011-11-11 18:46	--------	d-----w-	c:\programme\Application Updater
2011-11-11 18:46 . 2011-11-11 18:46	--------	d-----w-	c:\programme\pdfforge Toolbar
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-14 07:15 . 2011-05-20 17:02	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-10-10 14:22 . 2010-10-05 22:14	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-09-28 07:06 . 2010-10-05 22:14	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2008-07-29 17:59	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2001-08-23 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2001-08-23 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-06 14:10 . 2001-08-23 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-11-21 20:13 . 2011-09-19 17:50	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-01-26 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-01-26 118784]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2003-01-02 172032]
"AGRSMMSG"="AGRSMMSG.exe" [2003-04-18 88363]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2004-03-29 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"TouchED"="c:\programme\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 122880]
"TFncKy"="TFncKy.exe" [BU]
"TPSMain"="TPSMain.exe" [2004-04-01 266240]
"SigmaTel StacMon"="c:\programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe" [2003-08-03 86073]
"QuickPassword"="c:\programme\ActivCard\ActivCard Gold\agquickp.exe" [2003-03-12 221184]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-09-27 894304]
"XStzV0FikIADbMr"="c:\dokumente und einstellungen\Lenni\Anwendungsdaten\u5hr46sirtijyrt5.exe" [2011-11-25 319488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"*Restore"="c:\windows\system32\restore\rstrui.exe" [2008-04-14 385536]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-11-6 110592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Thunderbird]
c:\programme\Mozilla Thunderbird\thunderbird -turbo [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Lenni\\Lokale Einstellungen\\Anwendungsdaten\\Akamai\\netsession_win.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1041:TCP"= 1041:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
S2 Accoca;ActivCard Gold service;c:\programme\Gemeinsame Dateien\ActivCard\accoca.exe [19.02.2003 14:33 159744]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [23.08.2001 13:00 14336]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.11.2010 21:01 136360]
S2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [27.09.2011 20:08 745880]
S3 SCMUSB;SCR301 USB Smart Card Reader;c:\windows\system32\drivers\stcusb.sys [08.10.2010 07:08 18912]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
.
------- Zusätzlicher Suchlauf -------
.
mStart Page = hxxp://startsear.ch/?aff=1
TCP: DhcpNameServer = 192.168.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - 
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Power Saver - c:\windows\IsUn0407.exe
AddRemove-TouchED - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-11-27 18:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Akamai]
"ServiceDll"="c:\programme\gemeinsame dateien\akamai/netsession_win_d768ebc.dll"
.
Zeit der Fertigstellung: 2011-11-27  18:58:35
ComboFix-quarantined-files.txt  2011-11-27 17:58
.
Vor Suchlauf: 6 Verzeichnis(se), 38.719.352.832 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 40.528.482.304 Bytes frei
.
- - End Of File - - F9B211C8AB169E9EA7ADFED94D3CE01F
         

--- --- ---
Jetzt sehe ich im abgesichertem modus schwarzes desktop und kann auf software z.B. AntiVir zugreifen.
Danke für den Support bis jetzt. Ich warte auf weitere Anweisungen...

öffne bitte den arbeitsplatz, c: rechtsklick qoobox, mit winrar zip oder anderem packer ein archiv erstellen und nach anleitung hochladen
http://www.trojaner-board.de/54791-a...ner-board.html

Puuuuh, jetzt wird es spannend. Ich habe alles nach der Anleitung gemacht und beim hochladen im Trojaner-Board Upload Channel kam eine Meldung vom AntiVir, dass sich in der komprimierte Datei: Qoobox ein Malware befindet (APP2/Winlock.A'). Ich habe wohl vergessen AntiVir auszuschalten aber ich habe gerade Angst dass ich meinem "gesundem" pc ein Malware verpasse!
Was soll ich machen? AntiVir trotzdem ausschalten und Qoobox.zip auf Trojaner-Board Upload Channel hochladen? Überlebt mein pc das? Soll ich Ordneroptionen/Asicht danach wieder rückgängig machen?
Ich habe absolutes Vertrauen...

einfach nen rechtsklick auf den avira schirm, guard deaktivieren dann gehts. danach guard einschalten.

Ich habe die Datei erfolgreich hochgeladen. PC hat es "überlebt" Danke. Wie läuft es weiter?

hi

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Leider komme ich mit dem Malwarebytes nicht weiter. Es zeigt nach der Installatin ein Fehlercode: Programm_Error_Updating (11004,0,no adress found). Das gleich kommt auch nach Aktualisierung --> Suche nach Aktualisierung.

Ich habe jetzt trotzdem vollständiger Scan gestartet...

ok, schaun wir mal was raus kommt

ok. Suchlauf ist beendet. 16 infizierte Objekte gefunden: hier ist das log file

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7622

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

27.11.2011 21:47:16
mbam-log-2011-11-27 (21-47-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 209217
Laufzeit: 41 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.7 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll.8 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programme\pdfforge toolbar\IE\4.7\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP103\A0040274.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP110\A0041279.rbf (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP110\A0042505.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP111\A0049695.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP112\A0052916.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP96\A0038581.rbf (PUP.Dealio.TB) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP96\A0038597.old (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{1b8d4aeb-176a-45be-8642-0489e59f5a99}\RP98\A0038836.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Lenni\lokale einstellungen\Temp\0.47770973382446935.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Lenni\lokale einstellungen\Temp\0.7152930481308014.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.

Hallo markusg, muss morgen um 5Uhr aufstehen und daher Schluß machen für heute. Ich warte auf weitere Anweisungen. Danke für Support heute und ich hoffe dass man morgen vorankommen werden. Gute Nacht