Liebes Trojaner-Board-Team,

Wie viele andere habe ich mir ebenfalls gerade den "Bezahlen & Upgraden"-Virus eingefangen.
Auch kam die Meldung dass das Windows System zu meiner Sicherheit durch zu viel surfen auf infizierten und pornografischen Seiten blockiert sei (um genau zu sein, habe ich mir minecraft gekauft, runtergeladen und gespielt, nach einer Stunde kam diese schicke Botschaft), das ganze verziert mit vielen Logos von namhaften Antivirenprogrammen und einem Layout der Deutschlandfahne.

Als ich festgestellt habe, dass dieses Problem nur den aktiven Benutzeraccount betrifft, habe ich neugestartet und bin von einem anderen administrativen Account reingegangen. Das klappt auch gut, wenn ich mich dann abmelde und mich nochmal mit den infizierten Account anmelde, funktioniert das wieder. Ich kann nur nicht direkt daraufzugreifen.

Daraufhin habe ich Spybot Search&Destroy und Antivir rüberlaufen lassen, nichts weiteres außer einem Fund namens "EXP/CVE.2009.3869.R", der sofort in die Quarantäne kam.
Nach Systemneustart und Direktzugriff auf den betroffenen Account war die Malware trotzdem noch da.
Dann habe ich mich hier ein wenig belesen und OTL runtergeladen.
Im Anhang ist "Extras.txt" .
Obwohl ich nach der Anleitung "Minimal Output" und "Use SafeList" etc den Scan ausgeführt habe, ist "OTL.txt" 15KB zu groß zum hier hochladen. Was kann ich tun? Und wie mache ich eine Textbox auf, damit den Inhalt einfach hineinkopieren kann?

Ich besitze Windows XP und nur begrenzte Kenntnisse was Registry usw angeht.
Es wäre wunderbar, wenn ich dieses Problem ohne Neuaufsetzen des PCs lösen könnte.

Ich erbitte eure Hilfe.
Vielen Dank im Voraus für eure Geduld und euer Bemühen.

Mit freundlichen Grüßen

hi,
ich würd dir gern helfen, aber otl.txt fehlt :-(

Ich weiß, aber anscheinend ist die OTL Datei um 15kb zu groß um hochgeladen zu werden, deswegen weiß ich nicht, was ich da machen soll.

Reicht es wenn ich das extern hochlade, und dann verlinke?

EDIT:
Ich habe es extern hochgeladen, hier ist das OTL-File:
hxxp://www.crocko.com/7CA817E59FDA483B8BA99A1D542F78A8/OTL.Txt

dann packe es mit winzip oder nem andern programm und hänge es bitte an.

Danke für den Tipp!

OTL und Extras angehängt.

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKCU..\Run: [ffdwnd] C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (3M Touch Systems, Inc.)
 :Files
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Der Dank ist ganz meinerseits.
Der Fix hat geklappt. Ich kann wieder normal auf mein Account zugreifen.

Hier ist die Logfile:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ffdwnd deleted successfully.
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Chinese
->Flash cache emptied: 456 bytes
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: User
->Flash cache emptied: 118392 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Chinese
->Temp folder emptied: 40 bytes
->Temporary Internet Files folder emptied: 3660665 bytes
->FireFox cache emptied: 19581734 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 557350 bytes
 
User: User
->Temp folder emptied: 38222263 bytes
->Temporary Internet Files folder emptied: 685241087 bytes
->Java cache emptied: 3039424 bytes
->FireFox cache emptied: 62627771 bytes
->Google Chrome cache emptied: 68219692 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2289981 bytes
%systemroot%\System32 .tmp files removed: 2676103 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 423313 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 846,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 02092012_160025

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Muss ich noch etwas machen?
Ist die Malware jetzt nur deaktiviert, oder komplett weg?
Vielen Dank für deine Hilfe!

bitte noch nicht großartig surfen, wir suchen weiter und sichern den pc ab.
- weist du noch wo du zum infektionszeitpunkt unterwegs warst? infos als private nachicht an mich.
- der upload fehlt noch.

Private Nachricht geschickt.
Upload erfolgreich.

danke dir.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

Combofix klappte ohne Probleme.
Außer, dass es alles auf chinesisch wiedergegeben hat (obwohl meine Einstellung deutsch ist?).
Aber nach Abgleich zum Tutorial müsste der Inhalt identisch sein.

ComboFix.txt im Anhang

hmm aber du hast nen nutzer mit dem namen:
einstellungen\Chinese
ist der auf chinesisch oder heißt der nur so?
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Also ich habe 2 Admin Accounts auf dem PC:
Der Account "Chinese" war ein Test, ob ich in einem anderen Account eine komplett andere Systemsprache (Chinesisch) als Standard einstellen könnte. Es klappte nicht, es wurde ein komisches Deutsch-ohne-Sonderzeichen Account. Ich war dann zu faul um den Account zu löschen. (Im Nachhinein ein Glück, sonst könnte ich gar nicht mehr auf den PC zugreifen)

Was mich verwundert, ist, dass ich obwohl ich jetzt nicht auf dem "Chinese" eingeloggt bin, Combofix alles auf Chinesisch gemacht hat.

So Scan gemacht, gelöscht, Log im Anhang.
PC wird gleich nach Aufforderung neugestartet.

aber jetzt sollte es ja wieder im normalen modus im normalen konto gehen.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.15.1643
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Siehe Anhang.
Ich habe die Notwendigkeit immer ans Ende der jeweilgen Zeile gesetzt.