Hallo Foren-Gemeinde,
auch ich habe einen infizierten PC, wie hier im Forum schon in mehreren Beiträgen beschrieben.

Ich habe die ersten Schritte durchgeführt, wie beschrieben.
Anbei das log-files "OTL.txt" wie gewünscht...

Eine Frage habe ich noch, es gibt mehrere Benutzer Accounts auf dem PC, muss man dann die log-Files für jeden Account erstellen?

Vielen Dank schon mal vorab für Eure Unterstützung.

hi,

sollte so passen
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [lZoxBNSHVhEHmPm] I:\Users\root\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O4 - HKU\Claudia_ON_I..\Run: [lZoxBNSHVhEHmPm] I:\Users\Claudia\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O4 - HKU\Natalie_ON_I..\Run: [lZoxBNSHVhEHmPm] I:\Users\Natalie\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O4 - HKU\root_ON_I..\Run: [lZoxBNSHVhEHmPm] I:\Users\root\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\Claudia_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Claudia_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Claudia_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Natalie_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Natalie_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Natalie_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\root_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\root_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\root_ON_I\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\root\AppData\Roaming\h4w5eu5zy.exe) - I:\Users\root\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O20 - HKU\Claudia_ON_I Winlogon: Shell - (C:\Users\Claudia\AppData\Roaming\h4w5eu5zy.exe) - I:\Users\Claudia\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O20 - HKU\Natalie_ON_I Winlogon: Shell - (C:\Users\Natalie\AppData\Roaming\h4w5eu5zy.exe) - I:\Users\Natalie\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
O20 - HKU\root_ON_I Winlogon: Shell - (C:\Users\root\AppData\Roaming\h4w5eu5zy.exe) - I:\Users\root\AppData\Roaming\h4w5eu5zy.exe (IObit                                                       )
[2012/01/27 00:13:25 | 000,095,744 | ---- | C] (Kassl GmbH) -- I:\Users\Natalie\AppData\Roaming\dwlGina3.dll
[2012/01/26 08:47:44 | 000,417,792 | ---- | C] (IObit                                                       ) -- I:\Users\Natalie\AppData\Roaming\h4w5eu5zy.exe
[2012/01/26 08:47:44 | 000,095,744 | ---- | C] (Kassl GmbH) -- I:\Users\root\AppData\Roaming\dwlGina3.dll
[2012/01/26 08:46:38 | 000,417,792 | ---- | C] (IObit                                                       ) -- I:\Users\root\AppData\Roaming\h4w5eu5zy.exe
[2012/01/26 08:23:34 | 000,095,744 | ---- | C] (Kassl GmbH) -- I:\Users\Claudia\AppData\Roaming\dwlGina3.dll
[2012/01/26 08:16:48 | 000,417,792 | ---- | C] (IObit                                                       ) -- I:\Users\Claudia\AppData\Roaming\h4w5eu5zy.exe
:Files
I:\Users\root\AppData\Roaming\h4w5eu5zy.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo,
danke schon mal für die schnelle Hilfe. Ich werde dies gleich so durchführen, wir Du mir mitgeteilt hast. Eine Frage habe ich aber noch... Muss der Upload von dem infizierten Rechner erfolgen oder kann der Upload auch vom Zweitgerät erfolgen, da das infizierte Gerät nicht im Internet ist...

Anbei das log-file "otl.txt". Der Upload hat einwandfrei ohne Probleme funktioniert.
Wie sind nun die weiteren Schritte? Die Anmeldug am Windows 7 funktioniert nun wieder.
Dafür schon mal herzlichen Dank!

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Hallo noch mal,
hier wie gewünscht, das combofix logfile...

Muss jetzt noch was gemacht werden?

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo,
ich habe Deine neue Empfehlung durchgearbeitet, keine Funde. Das logfile ist anbei.

sehr gut.
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Soll ich das nochmal machen? Habe das ja vorhin schon ausgeführt...

sorry, wollte grad editieren
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Anbei das File...

deinstaliere:
Google Toolbar
J2SE
Java alle versionen
Download der kostenlosen Java-Software
downloade java jre
INSTALIERE ES

öffne otl, klicke bereinigen, nach neustart werden removal tools gelöscht.
öffne ccleaner, analysieren, bereinigen,neustarten, testen ob alles nach wunsch läuft.

ich bin gerade dabei die software zu deinstallieren. Eine Frage bezüglich des Ausführens von OTL, ich habe das von der erstellten CD anfangs durchgeführt. WIe soll ich das nun machen?

sorry, dann gehts anders.
start ausführen tippe:
combofix /uninstall
enter
das sollte cf löschen, vergiss das mit otl :-)