hallo Liebes Forum,
ich habe ein Problem undzwar habe ich hier einen Rechner meines kumpels ( Win XP SP2) der den Weisser Bilschirm keine verbindung Virus hat? was muss ich tun?

bitte Schnell antworten ich will das ding bis morgen Fertig haben!


habe mal den Scan Ausgeführt logs im Anhang!

mfg Atze11

Hi,

Fix für OTL (Script auf USB-Stick kopieren (oder CD brennen), OTLPE starten und wie folgt vorgehen):

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O4 - HKU\Lennart_ON_C..\Run: [K3aRyluP6SiCkoR] C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O7 - HKU\Lennart_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Lennart_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Lennart_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Lennart_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O20 - HKU\Lennart_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe) - C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe (All Alex,Inc)
O32 - AutoRun File - [2008/11/05 14:44:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{4b94fe50-e2ad-11de-ae01-001e3309289f}\Shell - "" = AutoRun
O33 - MountPoints2\{4b94fe50-e2ad-11de-ae01-001e3309289f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4b94fe50-e2ad-11de-ae01-001e3309289f}\Shell\AutoRun\command - "" = F:\autorun.exe
O33 - MountPoints2\{9bcfb08a-253b-11df-ae6b-001e3309289f}\Shell - "" = AutoRun
O33 - MountPoints2\{9bcfb08a-253b-11df-ae6b-001e3309289f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9bcfb08a-253b-11df-ae6b-001e3309289f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\explore.exe
O33 - MountPoints2\{9bcfb08a-253b-11df-ae6b-001e3309289f}\Shell\Open\command - "" = RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\explore.exe
O33 - MountPoints2\{daf60a36-e68b-11de-ae06-001e3309289f}\Shell - "" = AutoRun
O33 - MountPoints2\{daf60a36-e68b-11de-ae06-001e3309289f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{daf60a36-e68b-11de-ae06-001e3309289f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{dda46f36-46e1-11df-aea4-001e3309289f}\Shell\AutoRun\command - "" = G:\start.exe
O33 - MountPoints2\{fab60bf3-6fe3-11de-ad80-001e3309289f}\Shell - "" = AutoRun
O33 - MountPoints2\{fab60bf3-6fe3-11de-ad80-001e3309289f}\Shell\Auto\command - "" = F:\sxs.exe
O33 - MountPoints2\{fab60bf3-6fe3-11de-ad80-001e3309289f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{fab60bf3-6fe3-11de-ad80-001e3309289f}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe
[2012/03/13 17:33:23 | 000,308,224 | ---- | C] (All Alex,Inc) -- C:\Dokumente und Einstellungen\Lennart\Anwendungsdaten\flint4ytw.exe

FILES:
C:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\explore.exe

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

chris

hab alles gemacht der PC hat auch gestartet finde aber %systemroot% nicht!
(windows xp)

hab mal eine log im Anhang die unter ich unter :C gefunden habe!

Hi,

ist das alte Log...
%systemroot% = i. a. "C:\windows", dort sollte das Log von OTL liegen.

Was macht das Log von MAM?

chris

ich habe einen _olt ordner in :c darin war noch ein ordner Moved Files und darin war diese log die ich leider nicht Hochladen kann deshalb hab ich sie in ein TXT dokument Kopiert!

Was genau muss ich tun? mir werden keine icons angezeigt aber sonst geht alles.

Hi,

den Ordner MovedFiles kannst Du packen und wie hier beschrieben hochladen:

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort .... im Kommentar bitte meinen Nick erwähnen (chris4you), dann finde ich den Upload schneller...

Poste das MAM-Log...

chris

was ist die MAM ?

Hi,

siehe mein erstes Posting...

Malwarebytes Antimalware (MAM)
....
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.
....

chris

ok MAM scant grade full Scan! wo landet die log danach?

Hi,

gibt dazu einen Reiter in der MAM-GUI...(Logdateien)...

chris

so anbei ist die log von MAM.

Hi,

von einem sauberen Rechner alle Passwörter im Internet ändern...
Da war noch ein Backdoor drauf, damit ist unklar was alles sonst noch manipuliert wurde, Du solltest (wenn du hombanking machst) über Neuaufsetzen nachdenken!

Zur Sicherheit:
TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

tdsskiller TXT anbei.

eine frage wieso kann ich keine Icons zum Desktop hinzufügen? alles läuft nur der Desktop ist leer.

Hi,

hast Du drei Partitionen auf dem Rechner?

Poste ein neues OTL-Log und:

Unhide

Lade Dir unhide von folgender Adresse runter und dann per Doppelklick als Admin ausführen:
http://filepony.de/download-unhide/
Es werden alle versteckten Dateien sichtbar gemacht, ggf. welche die versteckt sein sollten wieder unsichtbar machen (Auswählen im Explorer->Eigenschaften->versteckt)

chris