Auch ich bin Opfer dieses blöden AKM-Virus geworden. Habe dabei nicht einmal gemerkt, wie, wann, wodurch...etc..

Mein PC lässt sich bei keinem der zu Verfügung stehenden Sicherheits-Modi starten. Egal, ob ich mich als Administrator oder Benutzer mit meinem bisherigen Passwort anmelde - es erscheint ein weißer Bildschirm (dieser hat sich gegenüber der vorigen Woche, wo sich das AKM-Virus mit seiner 50.-€ Aufforderung gemeldet hatte, mittlerweile auch geändert), in dem in etwa steht: "Bitte warten Sie, bis die Verbindung hergestellt wird."

Nachdem ich hier beim trojaner-board.de etliche haargenau gleiche Fälle durchstudiert und letzendlich auch Eure anfänglichen Standard-Anweisungen ausgeführt habe (ich muss dazu gestehen, unter kalten Schweißausbrüchen und fast einem Herzinfarkt... da ich sowas von einem Computerbanause bin..) sende ich Euch die Datei "OTL.txt" und bitte Euch, mir die weiteren Schritte - möglichst Dummie-sicher - zu erklären, da ich momentan auch niemanden habe, der mir übers Telefon beistehen könnte!..

Vielen Dank im Voraus - Ihr seid echt spitze!

grammar

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKU\ZekiBAKTIR_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\ZekiBAKTIR_ON_C\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [VX5LWxsct4OYCCz] C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O4 - HKU\ZekiBAKTIR_ON_C..\Run: [VX5LWxsct4OYCCz] C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoAutoUpdate = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF 03  [binary data]
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O20 - HKU\ZekiBAKTIR_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O20 - HKU\ZekiBAKTIR_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/10/09 18:55:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005/10/08 14:14:18 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ FAT32 ]
:Files
C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Lieber cosinus !!!

Vielen, herzlichen Dank! Es scheint alles wieder zu funktionieren...

Ich habe die gewünschte _OTL.rar upgeloadet (ich hoffe, ich hab' alles richtig gemacht, mit dem Verpacken und dem Virenscannerausschalten und so...)

Bitte lass mich wissen, ob noch etwas zu tun ist.

Vielen Dank nochmal - Ihr seid einsame Klasse. Hätte nie gedacht, dass das so schnell gehen würde!

Liebe Grüße

grammar

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Vielen Dank für die ausführlichen Beschreibungen!

Ich werde die nötigen Schritte so bald wie möglich durchführen, doch diese Woche geht es sich bei mir nicht aus, da ich aus beruflichen Gründen ständig unterwegs und somit nicht bei meinem PC bin.

Ich melde mich ganz sicher in etwa einer Woche (nächstes Wochenende) wieder.

Bis dahin bitte ich um etwas Geduld und vielen herzlichen Dank nochmals für die rasche Hilfe Eurerseits!

Grammar

Hallo lieber Cosinus,

also, ich habe sämtliche Deiner Anleitungen befolgt. Die Scans mit Malwarebytes und ESET brachten neue Funde. Bei dem Eset-Scan ist mir jedoch ein kleines Missgeschick passiert. Ich habe leider vergessen, das Kästchen „Remove Found Threats“ zu deaktivieren, bin aber nach ca. 2 Minuten draufgekommen und habe den Scanvorgang gestoppt. (da waren aber bereits 2 Dateien als „infiziert“ erkannt). Die daraus resultierende Log-Datei habe ich später im Programmordner unter „Eset\Eset Online Scanner\log.txt“ gefunden und sie umbenannt in „Log1.txt“. Dann habe ich einen neuerlichen Scanprozess mit ESET gestartet, diesmal ohne „Remove Found Threats“. Dieser zweite Durchlauf brachte etliche infizierte Dateien, mehr als 10, und nachdem der Scan beendet war, habe ich die jetzt neuerlich erstellte Logdatei „Log.txt“ auf dem Desktop gespeichert. Ich poste die die zwei Log-Dateien jetzt hier weiter unten. Die erste Log-Datei (Log1.txt) beinhaltet die zwei Dateien, welche durch mein Missgeschick vermutlich „bereinigt“ sein dürften. Die danach erstellte „Log.txt“ beinhaltet diejenigen infizierten Dateien, die sich weiterhin auf meinem PC befinden, da das Programm sie offensichtlich nicht angetastet hat. Ich hoffe sehr, dass dieses Missgeschick von mir keine fatalen Folgen für Deine Anweisungen bringt!..

Die von Malwarebytes gefundenen infizierten Dateien habe ich lt. Deinen Anweisungen entfernt.

Also, wie gesagt, hier alle Logs, die Du haben wolltest, wie folgt:

1. Malwarebytes-Scan: Log-Datei "mbam-log-2012-05-26 (17-52-02).txt":

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.26.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
ZekiBAKTIR :: ZEKI [Administrator]

26.05.2012 16:50:37
mbam-log-2012-05-26 (17-52-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266601
Laufzeit: 58 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{XeJngJXf-ODXg-ffJf-IGRj-b8ZmzFObCacv} (Trojan.Agent) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\UAC (Malware.Trace) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 2
C:\Programme\MyGlobalSearch (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\MyGlobalSearch\bar (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\05192012_184305\C_Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)
         

2. Malwarebytes-Scan: Log-Datei "mbam-log-2012-05-26 (16-50-37).txt":

Code: Alles auswählenAufklappen

ATTFilter

 
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
ZekiBAKTIR :: ZEKI [Administrator]

26.05.2012 16:50:37
mbam-log-2012-05-26 (16-50-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 266601
Laufzeit: 58 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{XeJngJXf-ODXg-ffJf-IGRj-b8ZmzFObCacv} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\UAC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 2
C:\Programme\MyGlobalSearch (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\MyGlobalSearch\bar (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05192012_184305\C_Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Und hier die erste ESET-Log Datei (mit den 2 fälschlicherweise bereinigten Dateien):

log1.txt:

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-26 04:28:44
# local_time=2012-05-26 06:28:44 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 357 357 0 0
# scanned=15135
# found=2
# cleaned=2
# scan_time=407
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\6\F3\07362d01	HTML/Hoax.FastDownload.C.Gen application (deleted - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\8\0A\C4CE4d01	JS/Exploit.Pdfka.PIN trojan (deleted - quarantined)	00000000000000000000000000000000	C
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
         

Und hier die 2. endgültige ESET-Logdatei:

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-26 04:28:44
# local_time=2012-05-26 06:28:44 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 357 357 0 0
# scanned=15135
# found=2
# cleaned=2
# scan_time=407
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\6\F3\07362d01	HTML/Hoax.FastDownload.C.Gen application (deleted - quarantined)	00000000000000000000000000000000	C
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\8\0A\C4CE4d01	JS/Exploit.Pdfka.PIN trojan (deleted - quarantined)	00000000000000000000000000000000	C
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-26 05:46:59
# local_time=2012-05-26 07:46:59 (+0100, Westeuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 878 878 0 0
# scanned=178052
# found=21
# cleaned=0
# scan_time=4581
C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\plugtmp\plugin-ap1.php	JS/Exploit.Pdfka.PIN trojan (unable to clean)	00000000000000000000000000000000	I
C:\otl rar verpackt für den trojanerboard\_OTL.rar	Win32/LockScreen.AKG trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\107cd1bb-4c8b87ed.Vir	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\317c6402-349cb1bb.Vir	Java/Exploit.Bytverify trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\423eaced-7d99d947.Vir	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\58535aaf-54584336.Vir	Java/TrojanDownloader.OpenStream.NAB trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\64c571fb-173ea94f.Vir	Java/Exploit.Bytverify trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\6d7493b4-3d68e19f.Vir	Java/TrojanDownloader.OpenStream.NAB trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\crtdcghcn.jar-70fead62-1bdb9a3f.zip.Vir	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\jrl.jar-70b9958a-6fee5855.zip.Vir	Java/Exploit.Bytverify trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\jrl.jar-8e51641-712e6b39.zip.Vir	Java/Exploit.Bytverify trojan (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-10fdd72b.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-30487e9c.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-387c00c6.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-3ec5e461.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-4bcd0609.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-4f139850.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-6f69fef5.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\QUARANTINE\menu.jr-57e3489c-78f7d682.zip.Vir	Java/Exploit.Bytverify virus (unable to clean)	00000000000000000000000000000000	I
C:\WINDOWS\system32\dhcpswapi.dll	Win32/TrojanClicker.Agent.NGS trojan (unable to clean)	00000000000000000000000000000000	I
H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar	VBS/TrojanDownloader.Psyme.gen trojan (unable to clean)	00000000000000000000000000000000	I
         

Und als Draufgabe das Scanergebnisse-Fenster von ESET:

Code: Alles auswählenAufklappen

ATTFilter

 C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\plugtmp\plugin-ap1.php	JS/Exploit.Pdfka.PIN trojan
C:\otl rar verpackt für den trojanerboard\_OTL.rar	Win32/LockScreen.AKG trojan
C:\QUARANTINE\107cd1bb-4c8b87ed.Vir	multiple threats
C:\QUARANTINE\317c6402-349cb1bb.Vir	Java/Exploit.Bytverify trojan
C:\QUARANTINE\423eaced-7d99d947.Vir	multiple threats
C:\QUARANTINE\58535aaf-54584336.Vir	Java/TrojanDownloader.OpenStream.NAB trojan
C:\QUARANTINE\64c571fb-173ea94f.Vir	Java/Exploit.Bytverify trojan
C:\QUARANTINE\6d7493b4-3d68e19f.Vir	Java/TrojanDownloader.OpenStream.NAB trojan
C:\QUARANTINE\crtdcghcn.jar-70fead62-1bdb9a3f.zip.Vir	multiple threats
C:\QUARANTINE\jrl.jar-70b9958a-6fee5855.zip.Vir	Java/Exploit.Bytverify trojan
C:\QUARANTINE\jrl.jar-8e51641-712e6b39.zip.Vir	Java/Exploit.Bytverify trojan
C:\QUARANTINE\menu.jr-57e3489c-10fdd72b.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-30487e9c.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-387c00c6.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-3ec5e461.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-4bcd0609.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-4f139850.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-6f69fef5.zip.Vir	Java/Exploit.Bytverify virus
C:\QUARANTINE\menu.jr-57e3489c-78f7d682.zip.Vir	Java/Exploit.Bytverify virus
C:\WINDOWS\system32\dhcpswapi.dll	Win32/TrojanClicker.Agent.NGS trojan
H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar	VBS/TrojanDownloader.Psyme.gen trojan
         

Ich danke für Deine Mühe im Voraus und hoffe, dass ich nicht all zu viel falsch gemacht habe!

Liebe Grüße

grammar

Zitat:

H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar

Was genau ist das und aus welcher Quelle stammt das?

Also ich habe sehr lange suchen müssen und bin dann zum Schluss fündig geworden:
H:\ das ist die zweite externe Festplatte, die mir ein Bekannter vor sehr langer Zeit geschenkt hatte und die ich sehr selten, fast nie verwende. Ich habe sie mit meiner eigentlichen externen Festplatte (ich habe 2) zusammen durchscannen lassen, da du angewiesen hattest, "sämtliche externen Festplatten mitscannen lassen".

Ich habe keine Ahnung, was das für eine Datei sein könnte, stammt höchstwahrscheinlich von dem Vorbesitzer.

Da es eine *.rar-Datei ist und ich jetzt zumindest von dem Dateinamen her verunsichert bin ("Hacking" ??? - das zweite Wort "Dokumanlar" ist auf Türkisch und bedeutet "Dokumente"), habe ich sie jetzt mal gelassen.

Soll ich diese Datei löschen? Mir bedeutet sie nichts. Außerdem: was mache ich mit den restlichen ESET-Fünden? Auch alle löschen?

Vielen Dank für die rasche Antwort und liebe Grüße!

grammar

Die Datei und die anderen Objekte löschen wir nachher

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also, es scheint alles normal zu funktionieren, der normale Modus von Windows geht uneingeschränkt weiter, mir ist nichts aufgefallen.

Auch unter Start-Menü: keine leeren Ordner. Allerdings glaube ich, bilde ich mir ein, dass ich früher den Ordner Mozilla Firefox (>> darunter die Datei Mozilla Firefox (Safe -Mode) ) nicht gehabt habe. Aber wie gesagt, ich kann mich auch irren.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OK. Vielen Dank !!! Muss aber jetzt dringend was anderes machen, und dann noch zur Arbeit, ich melde mich dann wieder!

So, es hat ein wenig noch gedauert in dieser Woche, aber hier bin ich wieder.

Ich habe die gewünschten Scan-Logs OTL.txt und Extras.txt und poste den Inhalt dieser Dateien als zip, da sie viel zu groß sind. (im Anhang)

Ich hoffe, dass ist OK so und das Anhängen der beiden zips funktioniert.

Warte auf weitere Anweisungen und bedanke mich sehr herzlich für die Bemühungen und für die Hilfe!

Liebe Grüße

grammar

Mit deiner OTL.txt stimm was nicht. Jeder Texteditor stürzt bei mir ab, wenn ich die OTL.txt von dir öffne und etwas runterscrolle

Lieber cosinus,

ich weiß auch nicht, was los ist. Die eigentliche Log-Datei war so immens groß, dass sie von Eurer Seite blockiert wurde, mit dem Hinweis auf Verpacken in eine zip-Datei. Ich habe das Ganze dann unter Verwendung des empfohlenen zip-Programms (7... irgendwas) verpackt (genau nach der Anleitung, welche -nach meinem Geschmack- aber ein wenig knapp war), deshalb kann ich einen Fehler nicht ausschließen. Ich bitte deshalb um Verzeihung. Wenn du es für richtig und notwendig und unumgänglich hältst und eine genauere Anleitung zum Verpacken hast, mache ich das Ganze gerne noch einmal.

Allerdings muss ich gestehen, dass mir aus beruflichen Gründen einfach die Zeit fehlt, mit diesen (immer kompliziereter werdenden) Maßnahmen Schritt zu halten, so dass ich ernsthaft zu überlegen begonnen habe, die verdammte Kiste einfach zu formatieren, nach der Rettung der Dateien.

Ohne Eure Hilfe und akribische Genauigkeit und Kompetenz in diesen Dingen infrage stellen zu wollen und im Bewusstsein tiefster Schätzung und Dankbarkeit bitte ich um Deine Stellungnahme, bzw um die Einschätzung, wie lange diese ganzen Prozedere dauern werden, ob noch sehr viel zu tun ist, und ob es dazu steht, ein "bis in die Knochen erkranktes Medium" noch retten zu müssen und ob es doch nicht vielleicht besser ist, damit kurzen Prozess zu machen. Denn wie schon erwähnt, möchte ich ehrlich gesagt niemanden unnötig belästigen, und vor allem Eure und meine Nerven damit schonen.

Vielen Dank nochmals und herzliche Grüße

grammar

p.s.: Ich habe noch einen anderen Computer (Laptop) und bin nicht wirklich um jeden Preis auf den infizierten PC angewiesen.