Hallo!

Auch mein windows xp hat der virus befallen. gleich nach dem hochfahren erscheint ein weißer bildschirm und eine meldung vom windows security center "Ihr Computer wurde gesperrt" wegen angeblich nichtlizensierter Software.

ich habe es geschafft den abgesicherten modus anzumachen, bin aber ansonsten ein echter computerlaie, brauche also dringend hilfe!

danke schon mal im vorraus

lg anne

Hi,

OTL
Boote in den abgesicherten Modus mit Netzwerkunterstützung (F8 beim Booten).
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

danke für die schnelle hilfe

hier die gewünschten dateien

Hi,

da ist noch ein bisschen mehr drauf, Backdoors...

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - (WDICA) --  File not found
DRV - (ugldrpob) -- C:\DOKUME~1\Fussel\LOKALE~1\Temp\ugldrpob.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (mbr) -- C:\DOKUME~1\Fussel\LOKALE~1\Temp\mbr.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (Changer) --  File not found
DRV - (jnv4_mib) -- C:\Dokumente und Einstellungen\Fussel\Lokale Einstellungen\Temp\jnv4_mib.sys ()
O4 - HKCU..\Run: [vasja] C:\Dokumente und Einstellungen\Fussel\Lokale Einstellungen\Temp\mor.exe (Hauppauge Computer Works Inc)
@Alternate Data Stream - 85 bytes -> C:\Dokumente und Einstellungen\All Users\Desktop:$SS_DESCRIPTOR_PVF2VCGFMVF9K8N4TKBRVDNGCMXLJ4M28WLP36MLL0WM6WEHS9E5XL94D1U8LL3TLVXGVMVKJVR4KK
@Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:164561C8
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EA7D76BE
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

chris

so hoffe das ist das was du sehen wolltest

die beiden programme lade ich mir gleich noch runter...


All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File File not found not found.
Error: No service named ugldrpob was found to stop!
Service\Driver key ugldrpob not found.
File C:\DOKUME~1\Fussel\LOKALE~1\Temp\ugldrpob.sys File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File File not found not found.
Error: No service named mbr was found to stop!
Service\Driver key mbr not found.
File C:\DOKUME~1\Fussel\LOKALE~1\Temp\mbr.sys File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File File not found not found.
Service jnv4_mib stopped successfully!
Service jnv4_mib deleted successfully!
C:\Dokumente und Einstellungen\Fussel\Lokale Einstellungen\Temp\jnv4_mib.sys moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
C:\Dokumente und Einstellungen\Fussel\Lokale Einstellungen\Temp\mor.exe moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Desktop:$SS_DESCRIPTOR_PVF2VCGFMVF9K8N4TKBRVDNGCMXLJ4M28WLP36MLL0WM6WEHS9E5XL94D1U8LL3TLVXGVMVKJVR4KK deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:164561C8 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:EA7D76BE deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 3822775 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 4129303 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Fussel
->Temp folder emptied: 930368611 bytes
->Temporary Internet Files folder emptied: 244932285 bytes
->Java cache emptied: 2667591 bytes
->FireFox cache emptied: 62040615 bytes
->Flash cache emptied: 534529 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 5545546 bytes

User: NetworkService
->Temp folder emptied: 32768 bytes
->Temporary Internet Files folder emptied: 33237 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 150147100 bytes
RecycleBin emptied: 2210868 bytes

Total Files Cleaned = 1,341.00 mb


OTL by OldTimer - Version 3.2.37.0 log created on 03152012_203537

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

hier nun der malwarebytes-bericht:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.15.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Fussel :: ROMY [Administrator]

15.03.2012 20:58:35
mbam-log-2012-03-15 (20-58-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 260675
Laufzeit: 49 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 9
HKCR\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{9233C3C0-1472-4091-A505-5580A23BB4AC} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\XML.XML.1 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\XML.XML (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\NordBull (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\PopRock (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
C:\Dokumente und Einstellungen\All Users\Dokumente\Diablo.2\Serial\diablo2_kg.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{7788D66C-0742-44A6-A8BC-AD0FE2F4E8AB}\RP460\A0092654.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\03152012_203537\C_Dokumente und Einstellungen\Fussel\Lokale Einstellungen\Temp\mor.exe (Spyware.Zbot.ES) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\spiele\Diablo.2\Serial\diablo2_kg.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\System Volume Information\_restore{7788D66C-0742-44A6-A8BC-AD0FE2F4E8AB}\RP460\A0092655.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hi,

Du solltest alle Passwörter von einem sauberen Rechner aus ändern...
So, leider ist an der Stelle auch mit dem Support hier Schluß, da diablo2_kg.exe das nicht geduldet wird..

chris&out