Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun?

ninifee · 12.06.2012, 16:15

Hallo,

bin auch von dem genannten Trojaner betroffen.

Ich hab die Anweisungen bis zum Erstellen einer Logfile befolgt,
aber jetzt komme ich nicht mehr weiter.

In der Anleitung steht ja, dass OTL.txt und Extras.txt erstellt werden sollen. um es dann anschlißend zu posten,
allerdings heißt das erstellte Dokument bei mir nur OTL.txt.
Muss ich den Scan nochmal ausführen? Oder habe ich etwas falsch gemacht?

Danke im voraus!

cosinus · 14.06.2012, 14:10

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

ninifee · 14.06.2012, 19:51

Nein, leider nicht.

Ich krieg den PC in keinem abgesicherten Modus mehr hoch, der springt sofort auf den "Virus-Bildschirm" um.
Deshalb ja auch kein Internet, weshalb ich eben die Geschichte mit dem OTLPE-Stick versuchen wollte (habe ein ASUS Netbook).

cosinus · 15.06.2012, 12:32

Dann poste erstmal das Log von OTLPE. Die Extras brauch ich noch nicht

ninifee · 15.06.2012, 14:26

Hier ist das Logfile, bin mir allerdings nicht sicher, ob es das Richtige ist.
Denn als Frage tauchte folgende auf:
"Do you wish to load remote user profile(s)
for scanning"
Habe dann Ja gewählt, allerdings gab es dann versch. Auswahlmöglichkeiten.

LocalService
NetworkService
Susa (Der Name meines Netbooks)
systemprofile

Habe das Logfile von LocalService erstellt.
Allerdings ist unten das Häkchen bei "Automatically load all remaining users",
meint das, dass das Logfile von allen 4 Möglichkeiten ist?

Tut mir Leid, kenne mich wirklich kaum aus, bin mir nicht mal sicher, ob man Logfiles so postet.

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 6/12/2012 5:58:29 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,015.00 Mb Total Physical Memory | 821.00 Mb Available Physical Memory | 81.00% Memory free
903.00 Mb Paging File | 837.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 68.45 Gb Total Space | 43.40 Gb Free Space | 63.41% Space Free | Partition Type: 

NTFS
Drive D: | 120.03 Mb Total Space | 102.83 Mb Free Space | 85.67% Space Free | Partition 

Type: FAT
Drive E: | 68.45 Gb Total Space | 68.37 Gb Free Space | 99.90% Space Free | Partition Type: 

NTFS
Drive X: | 1.96 Gb Total Space | 1.62 Gb Free Space | 82.56% Space Free | Partition Type: 

FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | 

File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/05/04 12:41:20 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- 

C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/01/22 10:39:49 | 000,124,832 | ---- | M] (Yuna Software) [Auto] -- 

C:\Programme\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe -- 

(MsgPlusService)
SRV - [2011/10/24 16:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- 

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- 

(Apple Mobile Device)
SRV - [2011/10/21 10:23:42 | 000,196,176 | ---- | M] (Microsoft Corporation.) [Auto] -- 

C:\Programme\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011/10/13 12:21:52 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto] -- 

C:\Programme\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate)
SRV - [2011/07/20 00:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2011/01/12 10:44:02 | 000,033,584 | ---- | M] (ESET) [On_Demand] -- 

C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe -- (EhttpSrv)
SRV - [2011/01/12 10:41:42 | 000,810,144 | ---- | M] (ESET) [Auto] -- C:\Programme\ESET\ESET 

NOD32 Antivirus\ekrn.exe -- (ekrn)
SRV - [2010/01/15 08:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand] -- 

C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] --  -- (hwdatacard)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/08/19 06:25:26 | 000,106,880 | ---- | M] (HSPADataCard Incorporated) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\HSPADataCardusbser.sys -- (HSPADataCardusbser)
DRV - [2011/08/19 06:25:26 | 000,106,880 | ---- | M] (HSPADataCard Incorporated) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\HSPADataCardusbnmea.sys -- (HSPADataCardusbnmea)
DRV - [2011/08/19 06:25:26 | 000,106,880 | ---- | M] (HSPADataCard Incorporated) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\HSPADataCardusbmdm.sys -- (HSPADataCardusbmdm)
DRV - [2011/08/19 06:25:26 | 000,010,240 | ---- | M] (ZTE Incorporated) [Kernel | On_Demand] 

-- C:\WINDOWS\system32\drivers\massfilter.sys -- (massfilter)
DRV - [2010/12/21 09:04:06 | 000,141,264 | ---- | M] (ESET) [File_System | Auto] -- 

C:\WINDOWS\system32\drivers\eamon.sys -- (eamon)
DRV - [2010/12/21 09:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System] -- 

C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)
DRV - [2010/12/21 07:47:38 | 000,094,872 | ---- | M] (ESET) [Kernel | System] -- 

C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)
DRV - [2010/04/28 02:44:02 | 000,054,760 | ---- | M] (Microsoft Corporation) [Kernel | Auto] 

-- C:\WINDOWS\system32\drivers\fssfltr_tdi.sys -- (fssfltr)
DRV - [2009/12/14 22:46:26 | 000,024,192 | ---- | M] (Bytemobile, Inc.) [Kernel | System] -- 

C:\WINDOWS\system32\drivers\tcpipBM.sys -- (tcpipBM)
DRV - [2009/12/14 22:46:18 | 000,013,184 | ---- | M] (Bytemobile, Inc.) [Kernel | Boot] -- 

C:\WINDOWS\system32\drivers\BMLoad.sys -- (BMLoad)
DRV - [2009/03/30 05:13:30 | 005,063,168 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for 

Realtek HD Audio (WDM)
DRV - [2009/03/13 17:05:26 | 001,528,928 | ---- | M] (Atheros Communications, Inc.) [Kernel 

| On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2009/03/02 01:03:47 | 000,038,912 | ---- | M] (Atheros Communications, Inc.) [Kernel 

| On_Demand] -- C:\WINDOWS\system32\drivers\l1c51x86.sys -- (L1c)
DRV - [2008/11/18 21:21:28 | 000,039,040 | ---- | M] (GenesysLogic Technologies, Inc.) 

[Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\uvclf.sys -- (uvclf)
DRV - [2008/08/19 10:16:36 | 000,991,656 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2008/08/19 10:16:28 | 000,047,272 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2008/08/05 08:10:12 | 001,684,736 | ---- | M] (Creative) [Kernel | On_Demand] -- 

C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2008/07/24 05:37:10 | 000,156,816 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2008/05/29 23:46:12 | 000,534,568 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2008/04/08 09:59:28 | 000,010,752 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS -- (AsusACPI)
DRV - [2008/03/10 06:18:42 | 000,057,384 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btwhid.sys -- (btwhid)
DRV - [2008/02/04 05:57:44 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2006/01/04 03:41:48 | 001,389,056 | ---- | M] (Creative Technology Ltd.) [Kernel | 

On_Demand] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" 

= 0
 
 
 
IE - HKU\Susa_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = 

hxxp://feed-msgplus.linkury.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=547

8c092-88bb-467a-b0cf-623070b41ac8&sp=addr&q={searchTerms}
IE - HKU\Susa_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = 

hxxp://feed-msgplus.linkury.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=547

8c092-88bb-467a-b0cf-623070b41ac8&sp=hp&searchtype=hp
IE - HKU\Susa_ON_C\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = 

hxxp://feed-msgplus.linkury.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=547

8c092-88bb-467a-b0cf-623070b41ac8&sp=addr&q={searchTerms}
IE - HKU\Susa_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

hxxp://feed-msgplus.linkury.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=DE&userid=547

8c092-88bb-467a-b0cf-623070b41ac8&sp=addr&q={searchTerms}
IE - HKU\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: 

"ProxyEnable" = 0
IE - HKU\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: 

"ProxyOverride" = *.local
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: 

C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: 

C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla 

Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: 

C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: 

C:\Programme\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: 

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft 

Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: 

C:\Programme\congstar\Internet-Manager\Bin\addon [2010/04/01 08:29:34 | 000,000,000 | ---D | 

M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: 

C:\Programme\Mozilla Firefox\components [2012/05/04 12:41:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: 

C:\Programme\Mozilla Firefox\plugins [2012/04/20 12:43:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: 

C:\Programme\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2011/05/27 16:07:02 | 

000,000,000 | ---D | M]
 
[2012/04/20 12:43:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla 

Firefox\extensions
[2011/04/08 15:24:47 | 000,000,000 | ---D | M] (Skype extension) -- C:\Programme\Mozilla 

Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2012/05/04 12:41:20 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla 

firefox\components\browsercomps.dll
[2011/04/26 17:51:58 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- 

C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/04/20 12:42:50 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\amazondotcom-de.xml
[2012/04/20 12:42:50 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\bing.xml
[2012/04/20 12:42:50 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\eBay-de.xml
[2012/04/20 12:42:50 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\leo_ende_de.xml
[2011/10/19 04:30:25 | 000,000,158 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\Search the web.src
[2012/04/20 12:42:50 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\wikipedia-de.xml
[2012/04/20 12:42:50 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla 

firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - 

C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - 

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems 

Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 

(Microsoft Corporation)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - 

C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - 

C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} -  File not 

found
O3 - HKU\Susa_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} 

- No CLSID value found.
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application 

Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\AsScrPro.exe (ASUS)
O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer 

Inc.)
O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer 

Inc.)
O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.)
O4 - HKLM..\Run: [egui] C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe (ESET)
O4 - HKLM..\Run: [LiveUpdate] C:\Programme\Asus\LiveUpdate\LiveUpdate.exe ()
O4 - HKLM..\Run: [MessengerPlusForSkypeService] C:\Programme\Yuna Software\Messenger Plus! 

for Skype\MsgPlusForSkypeService.exe (Yuna Software)
O4 - HKLM..\Run: [PlusService] C:\Programme\Yuna Software\Messenger Plus!\PlusService.exe 

(Yuna Software)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java 

Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe (Synaptics 

Incorporated)
O4 - HKU\Susa_ON_C..\Run: [98432FF2] C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Lnzbbbs\uxatluul.exe ()
O4 - HKU\Susa_ON_C..\Run: [Browser Infrastructure Helper] C:\Dokumente und 

Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Smartbar\Application\Smartbar.exe 

(Smartbar)
O4 - HKU\Susa_ON_C..\Run: [Eee Docking] C:\Programme\ASUS\Eee Docking\Eee Docking.exe ()
O4 - HKU\Susa_ON_C..\Run: [quqav.exe]  File not found
O4 - HKU\Susa_ON_C..\Run: [vasja] C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ 

SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe 

(ASUSTeK Computer Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All 

Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth 

Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee 

Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, 

Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All 

Users\Startmenü\Programme\Autostart\MCtlSvc.lnk = 

C:\Programme\congstar\Internet-Manager\Bin\mcserver.exe (ZTE)
O4 - Startup: C:\Dokumente und 

Einstellungen\Susa\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = 

C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 

1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: 

NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: 

NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: 

NoDriveTypeAutoRun = 145
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: 

NoDriveTypeAutoRun = 145
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: 

DisableRegistryTools = 1
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit 

= 1
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr 

= 1
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - 

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - 

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll 

(Apple Inc.)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} 

hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/uno1/GAME_UNO1.cab 

(UnoCtrl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} 

hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} 

hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.o

cx (WRC Class)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} 

hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab 

(MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} 

hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 

hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - 

C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft 

Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 

C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - 

C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft 

Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft 

Corporation)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/05/12 16:51:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- 

[ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ 

FAT ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/06/11 15:35:39 | 000,000,000 | ---D | C] -- C:\Programme\Lame For Audacity
[2012/06/11 15:14:40 | 000,000,000 | ---D | C] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Lnzbbbs
[2012/06/08 08:19:51 | 000,000,000 | ---D | C] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Audacity
[2012/06/08 08:17:16 | 000,000,000 | ---D | C] -- C:\Programme\Audacity
[2012/06/08 07:51:39 | 000,000,000 | ---D | C] -- C:\Programme\mp3DirectCut
[2012/05/27 16:24:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\Messenger Plus! for Skype
[2012/05/27 16:23:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Susa\Lokale 

Einstellungen\Anwendungsdaten\Smartbar
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/06/12 10:36:10 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/06/12 10:35:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/06/08 08:17:59 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All 

Users\Startmenü\Programme\Audacity.lnk
[2012/06/08 08:17:59 | 000,000,654 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Desktop\Audacity.lnk
[2012/06/08 07:51:40 | 000,000,702 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Desktop\mp3DirectCut.lnk
[2012/06/05 11:32:45 | 000,853,064 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\dVaXNLpoyUspEqeua
[2012/06/03 08:08:10 | 000,016,038 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\EQdGVQOvojpOaNAtgqa
[2012/05/31 16:27:40 | 002,864,488 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\oexTuJsNaQleos
[2012/05/31 09:22:01 | 000,604,160 | ---- | M] (Microsoft Corporation) -- 

C:\WINDOWS\System32\dllcache\crypt32.dll
[2012/05/29 14:50:13 | 004,158,016 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\xeqAoyutflrXnNvxUtJO
[2012/05/28 07:44:14 | 000,020,778 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\UTAOJrjsgqoDsO
[2012/05/28 06:29:21 | 000,019,421 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\OtAVfNTveOLslravegsA
[2012/05/27 14:18:13 | 000,015,380 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\dsJEGqdravVxyQlrTv
[2012/05/27 11:49:41 | 000,011,316 | ---- | M] () -- C:\Dokumente und 

Einstellungen\Susa\Eigene Dateien\leNpoaqftdEjAXu
[2012/05/18 17:24:35 | 000,449,842 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/18 17:24:35 | 000,433,470 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/18 17:24:35 | 000,081,120 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/18 17:24:35 | 000,068,426 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/06/08 08:17:59 | 000,000,654 | ---- | C] () -- C:\Dokumente und 

Einstellungen\Susa\Desktop\Audacity.lnk
[2012/06/08 08:17:58 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\All 

Users\Startmenü\Programme\Audacity.lnk
[2012/06/08 07:51:40 | 000,000,702 | ---- | C] () -- C:\Dokumente und 

Einstellungen\Susa\Desktop\mp3DirectCut.lnk
[2012/02/26 14:32:51 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/24 14:30:00 | 000,005,632 | ---- | C] () -- C:\Dokumente und 

Einstellungen\Susa\Lokale 

Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/05/28 08:43:38 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011/01/16 13:53:09 | 000,041,912 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2011/01/03 12:42:49 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/12/26 10:22:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/10/06 10:40:28 | 000,013,930 | ---- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2009/06/23 13:44:51 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009/06/23 12:27:02 | 000,040,960 | ---- | C] () -- C:\WINDOWS\uvcrecordfix.exe
[2009/06/23 12:27:02 | 000,024,576 | ---- | C] () -- C:\WINDOWS\Sleep.exe
[2009/06/23 12:22:04 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\SamSfPa.dat
[2009/06/23 12:22:04 | 000,000,008 | ---- | C] () -- 

C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2009/06/23 12:20:27 | 000,021,864 | ---- | C] () -- C:\WINDOWS\AsAcpiSvrLang.ini
[2009/06/23 12:20:27 | 000,012,208 | ---- | C] () -- C:\WINDOWS\AsTrayLang.ini
[2009/06/23 12:18:42 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2009/05/12 17:45:32 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/05/12 17:44:46 | 000,212,880 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/05/12 16:53:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/05/12 16:49:12 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/05/12 16:38:35 | 000,005,312 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2009/05/12 16:38:30 | 000,449,842 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2009/05/12 16:38:30 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2009/05/12 16:38:30 | 000,081,120 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2009/05/12 16:38:30 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2009/05/12 16:38:23 | 000,433,470 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2009/05/12 16:38:23 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2009/05/12 16:38:23 | 000,068,426 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2009/05/12 16:38:23 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2009/05/12 16:38:23 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2009/05/12 16:38:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2009/05/12 16:38:22 | 000,004,562 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2009/05/12 16:38:22 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2009/05/12 16:38:19 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2009/05/12 16:38:19 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2009/05/12 16:38:17 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2009/05/12 16:38:15 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2009/02/26 02:50:32 | 000,000,176 | ---- | C] () -- C:\WINDOWS\explorer.exe.config
[2008/09/02 01:25:26 | 002,854,912 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2001/11/14 07:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
========== LOP Check ==========
 
[2012/06/11 15:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Audacity
[2012/06/11 15:36:10 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Cuumw
[2012/02/27 15:31:41 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\DVDVideoSoft
[2012/06/11 15:36:15 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012/02/19 09:02:42 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Internet-Manager
[2012/06/11 15:14:40 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Lnzbbbs
[2011/10/19 04:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\OpenOffice.org
[2012/06/11 15:36:18 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\PhotoScape
[2012/06/11 15:36:18 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\QuickScan
[2012/06/11 15:36:18 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\Ryow
[2012/06/11 15:36:18 | 000,000,000 | ---D | M] -- C:\Dokumente und 

Einstellungen\Susa\Anwendungsdaten\toolplugin
[2011/05/27 16:07:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\ESET
[2010/12/26 17:23:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\IsolatedStorage
[2011/01/04 20:23:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\Last.fm
[2012/05/28 05:19:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\Messenger Plus!
[2012/05/27 16:24:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\Messenger Plus! for Skype
[2009/10/06 10:40:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\Ralink Driver
[2010/12/26 18:22:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All 

Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

cosinus · 15.06.2012, 15:19

Log ist unbrauchbar. Poste es bitte OHNE Zeilenumbrüche.

ninifee · 16.06.2012, 13:49

Genauso spuckt mir der Scan es aber als Textdatei aus,
hab es nur kopiert.
Wie soll ich die Zeilenumbrüche da rauskriegen?

cosinus · 17.06.2012, 20:58

Nimm einen bsseren Texteditor, sowas wie Notepad++
Oder pack die Logdatei erstmal in den Anhang

ninifee · 17.06.2012, 22:15

Hier ist es erstmal als Anhang

cosinus · 18.06.2012, 10:25

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} -  File not found
O3 - HKU\Susa_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKU\Susa_ON_C..\Run: [98432FF2] C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Lnzbbbs\uxatluul.exe ()
O4 - HKU\Susa_ON_C..\Run: [Browser Infrastructure Helper] C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Smartbar\Application\Smartbar.exe (Smartbar)
O4 - HKU\Susa_ON_C..\Run: [quqav.exe]  File not found
O4 - HKU\Susa_ON_C..\Run: [vasja] C:\WINDOWS\explorer.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/05/12 16:51:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
:Files
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Cuumw
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Lnzbbbs
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

ninifee · 18.06.2012, 20:00

Wow, ich bin grade echt geflasht,
Windows fährt tatsächlich wieder hoch!

Habe den Qurantäne-Ordner wie beschrieben hochgeladen,
Logfile nach dem Fix gibts hintendran.
Vielen vielen vielen vielen Dank, wirklich!
Ich bin wirklich erleichtert, jetzt kann ich nur hoffen, dass meine Dateien gerettet werden können, dann wäre mein Glück perfekt.

Dankeschön!

Zitat:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{DFEFCDEE-CF1A-4FC8-89AF-189327213627} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFEFCDEE-CF1A-4FC8-89AF-189327213627}\ deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_USERS\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\98432FF2 deleted successfully.
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Lnzbbbs\uxatluul.exe moved successfully.
Registry value HKEY_USERS\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Browser Infrastructure Helper deleted successfully.
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Smartbar\Application\Smartbar.exe moved successfully.
Registry value HKEY_USERS\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\quqav.exe deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\vasja deleted successfully.
Item C:\WINDOWS\explorer.exe is whitelisted and cannot be moved.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\Susa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
X:\AUTORUN.INF moved successfully.
========== FILES ==========
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Cuumw folder moved successfully.
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Lnzbbbs folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 06192012_001720

Hoffe, es ist diesmal richtig!

cosinus · 18.06.2012, 21:33

Na, so schnell sind wir leider noch nicht fertig
Und bei deinen verschlüsselten Daten will ich dir keine falschen Hoffnungen machen

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

ninifee · 20.06.2012, 18:40

Egal, ich freue mich trotzdem schonmal, dass der PC wieder hochfährt

Bin jetzt endlich mal dazu gekommen, die Scans auszuführen.
Die Logfiles von Malwarebytes kommen mir irgendwie komisch vor (sind die aus der Leiste 'Logdateien'), es sind außerdem 5 verschiedene.
Zwei davon heißen mbam.log und 3 protection.log

Ich poste einfach erstmal mal die beiden mbams:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.18.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Susa :: NAME-BQC30SBMP9 [Administrator]

Schutz: Aktiviert

18.06.2012 22:45:17
mbam-log-2012-06-18 (22-45-17).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 280640
Laufzeit: 1 Stunde(n), 6 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\61048e72-4c6edbd0 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\0.21150975329172428.exe (Trojan.Ransom.GP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\0.5057028846804744.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

2. :

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.19.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Susa :: NAME-BQC30SBMP9 [Administrator]

Schutz: Aktiviert

19.06.2012 06:42:47
mbam-log-2012-06-19 (06-42-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 281153
Laufzeit: 1 Stunde(n), 11 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=2c0471c889bd0f428b44c95c92403f9d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-19 09:44:20
# local_time=2012-06-19 11:44:20 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 329 329 0 0
# scanned=79748
# found=8
# cleaned=0
# scan_time=5438
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\61e16d99-6bf24a22	Java/Exploit.CVE-2011-3544.X trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\37db3fe2-10dfd1e5	Java/TrojanDownloader.Agent.ME trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\76yjo56x.default\Cache(2)\68794868d01	JS/Kryptik.DR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\76yjo56x.default\Cache(2)\73735E0Bd01	JS/Exploit.Pdfka.OXB.Gen trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\jar_cache1545927038030526494.tmp	Win32/LockScreen.AFR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\Update_74af.exe	probably a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\ICReinstall\Update_74af.exe	probably a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5BT6AF2I\calc[1].exe	Win32/Spy.Zbot.YW trojan (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=2c0471c889bd0f428b44c95c92403f9d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-20 04:32:24
# local_time=2012-06-20 06:32:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 67949 67949 0 0
# scanned=80341
# found=8
# cleaned=0
# scan_time=5506
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\61e16d99-6bf24a22	Java/Exploit.CVE-2011-3544.X trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\37db3fe2-10dfd1e5	Java/TrojanDownloader.Agent.ME trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\76yjo56x.default\Cache(2)\68794868d01	JS/Kryptik.DR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\76yjo56x.default\Cache(2)\73735E0Bd01	JS/Exploit.Pdfka.OXB.Gen trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\jar_cache1545927038030526494.tmp	Win32/LockScreen.AFR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\Update_74af.exe	probably a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temp\ICReinstall\Update_74af.exe	probably a variant of Win32/InstallCore.A application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Susa\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5BT6AF2I\calc[1].exe	Win32/Spy.Zbot.YW trojan (unable to clean)	00000000000000000000000000000000	I

cosinus · 21.06.2012, 09:59

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

ninifee · 21.06.2012, 19:35

1. Ja, bei Windows ist alles super, läuft alles wie vor dem Befall durch den Trojaner.
2. Mir ist jetzt nichts aufgefallen was fehlt und leere Ordner scheinen auch nicht vorhanden zu sein.

14.06.2012, 14:10	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun? Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung Windows mit F8-Taste beim Start in den abgesicherten Modus bringen. Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern: __________________ __________________

15.06.2012, 12:32	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun? Dann poste erstmal das Log von OTLPE. Die Extras brauch ich noch nicht __________________ Logfiles bitte immer in CODE-Tags posten

15.06.2012, 15:19	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun? Log ist unbrauchbar. Poste es bitte OHNE Zeilenumbrüche. __________________ --> Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun?

17.06.2012, 20:58	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun? Nimm einen bsseren Texteditor, sowas wie Notepad++ Oder pack die Logdatei erstmal in den Anhang __________________ Logfiles bitte immer in CODE-Tags posten

21.06.2012, 09:59	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun? Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun?

Plagegeister aller Art und deren Bekämpfung: Windows Verschlüsselungstrojaner - Logfile bereits erstellt - was nun?