erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe

wodit · 19.07.2012, 23:57

so... erledigt!

Unten das Logfile.

Gruß, Wodit

t'john · 20.07.2012, 09:58

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} 
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7IRFE_deDE465 
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - user.js - File not found 
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found 
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O4 - HKU\S-1-5-21-3662355203-2819803803-985672485-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found 
O32 - HKLM CDRom: AutoRun - 1 
MsConfig:64bit - StartUpFolder: C:^Users^Carsten^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ctfmon.lnk - C:\Windows\SysNative\rundll32.exe - (Microsoft Corporation) 
MsConfig:64bit - State: "startup" - Reg Error: Key error. 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

wodit · 20.07.2012, 10:43

guten Morgen,
habe seit dem OTL-Scan gestern nun heute nach dem Hochfahren kein Netz mehr, obwohl alle Kabelverbindungen bestehen. Auf meinem Desktop finden sich zudem 2 "desktop.ini"-Icons.

mit folgenden Inhalten:

Code:

ATTFilter

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

Code:

ATTFilter

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

Irgendeine Bedeutung?

Hole mir jetzt Deine nächsten Schritte per Stick vom anderen Rechner, mit dem ich jetzt kommuniziere.

Gruß, Wodit

...warte jetzt aber lieber erstmal ab, bevor ich weitermache!

Nochmal Grüße, Wodit

t'john · 20.07.2012, 21:24

Also den Fix hast du noch nicht durchgefuehrt?

wodit · 21.07.2012, 10:24

Hi t'john,
bin inzwischen wieder zuhause und Rechner hängt am WLan. Hier funzt Firefox wieder und die dokumentierten Desktop-Inis sind wieder wech ...

Da Du nur die Frage gestellt hast, gehe ich davon aus, dass es ungefährlich ist den Fix zu machen.

Werde das jetzt machen.

Gruß, Wodit

... und gefixt:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}\ not found.
HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\IntelTBRunOnce not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3662355203-2819803803-985672485-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Carsten\Desktop\cmd.bat deleted successfully.
C:\Users\Carsten\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Carsten
->Temp folder emptied: 1939936 bytes
->Temporary Internet Files folder emptied: 427671 bytes
->Java cache emptied: 20258 bytes
->FireFox cache emptied: 189662169 bytes
->Flash cache emptied: 56814 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4346 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 23717812 bytes

t'john · 21.07.2012, 17:24

Machen wir mi ESET weiter?

http://www.trojaner-board.de/119505-...tml#post865814

wodit · 21.07.2012, 17:32

Hi, ja gerne -hatte schon drauf gewartet!

Aber leider sagt der mir immer noch folgendes - siehe Grafik unten:

t'john · 21.07.2012, 20:46

Argh jetzt sehe ich es

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:OTL
O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll (McAfee, Inc.)
O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll (McAfee, Inc.)
IE - HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = socks=127.0.0.1:18604 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

wodit · 21.07.2012, 21:23

... done!

Hier:

Code:

ATTFilter

All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
File move failed. C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll scheduled to be moved on reboot.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\ deleted successfully.
C:\Program Files (x86)\Java\jre6\bin\ssv.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\ deleted successfully.
File move failed. C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll scheduled to be moved on reboot.
HKU\S-1-5-21-3662355203-2819803803-985672485-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Carsten\Desktop\cmd.bat deleted successfully.
C:\Users\Carsten\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Carsten
->Temp folder emptied: 10310773 bytes
->Temporary Internet Files folder emptied: 427542 bytes
->Java cache emptied: 39513 bytes
->FireFox cache emptied: 635255766 bytes
->Flash cache emptied: 1323 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9756 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 573164 bytes
 
Total Files Cleaned = 617,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Carsten
->Flash cache emptied: 0 bytes
 
User: Default
->Flash cache emptied: 0 bytes
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
 
Total Flash Files Cleaned = 0,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.54.0 log created on 07212012_221123

Files\Folders moved on Reboot...
File move failed. C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll scheduled to be moved on reboot.
File move failed. C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll scheduled to be moved on reboot.
C:\Users\Carsten\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...
[2012.05.25 17:00:52 | 000,094,720 | ---- | M] (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\ScriptSn.20120629113929.dll : MD5=9901FE4815A3221E2AF8238C205086A6
[2012.05.25 17:09:18 | 000,079,776 | ---- | M] (McAfee, Inc.) C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120717120716.dll : MD5=9E94814109A822D4618E8A0A7BD2F722
File C:\Users\Carsten\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

Registry entries deleted on Reboot...

...nu bin ich ja mal gespannt...

Grüße, Wodit

t'john · 21.07.2012, 21:26

uuuuuuuund?

wodit · 21.07.2012, 21:28

...kein Raumgewinn...

Siehe Grafik - Eingabeaufforderung ...

t'john · 21.07.2012, 21:31

Falsche Proxy Einstellungen entfernen

Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

wodit · 21.07.2012, 21:37

...schade - das war's net ...

siehe unten - so war's.

wodit · 21.07.2012, 21:39

... aber vielleicht fehlt das Häkchen für "Automatische Suche der Einstellungen"?

Jaaaaaaa! das war's!!!!!

t'john · 21.07.2012, 21:42

hehe, na das war eine echt schwere Geburt

Aber jetzt wissen wir auf welches Haekchen es ankommt

20.07.2012, 21:24	#34
t'john /// Helfer-Team	erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe Also den Fix hast du noch nicht durchgefuehrt? __________________ Mfg, t'john Das TB unterstützen

21.07.2012, 17:24	#36
t'john /// Helfer-Team	erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe Machen wir mi ESET weiter? http://www.trojaner-board.de/119505-...tml#post865814 __________________ --> erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe

21.07.2012, 21:26	#40
t'john /// Helfer-Team	erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe uuuuuuuund? __________________ Mfg, t'john Das TB unterstützen

21.07.2012, 21:42	#45
t'john /// Helfer-Team	erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe hehe, na das war eine echt schwere Geburt Aber jetzt wissen wir auf welches Haekchen es ankommt __________________ Mfg, t'john Das TB unterstützen

erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe

Log-Analyse und Auswertung: erst 2 BKA-Trojaner, dann kein www mehr: glom0_exe,FQ10 und owvy.exe