Liebe Lesende,

nun hat es leider auch meinen Computer mit dem Hermes_V01 Trojaner erwischt (einschlägige Meldung bei web.de sowie Kreditkarten-Maske bei Online-Banking). Nachdem diese Methode hier im Forum mehrfach erfolgreich gewesen zu sein scheint, poste ich hier die beiden Protokolldateien, die OTL soeben erstellt hat - mit der Bitte, mir, falls möglich, mit einem Fix behelflich zu sein. Tausend Dank im Voraus!

Beste Grüße
MWA

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL

MOD - C:\Users\Wannhoff\AppData\Local\Temp\c06086cf-47b1-4760-b263-4e4271d9922f\CliSecureRT.dll () 
SRV - (SBSDWSCService) -- C:\Program Files\Spybot File not found 
DRV - (MpKslc5eba22f) -- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DE1097AF-1A35-46EB-A4B9-F7055ADEF914}\MpKslc5eba22f.sys File not found 
DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys () 
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC 
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN 
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\URLSearchHook: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - SOFTWARE\Classes\CLSID\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\InprocServer32 File not found 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\SearchScopes,DefaultScope = {71B6FF0A-8CAC-488E-B95F-699F5F37FD1B} 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60747 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\SearchScopes\{71B6FF0A-8CAC-488E-B95F-699F5F37FD1B}: "URL" = http://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} 
IE - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.search.defaultenginename: "Yahoo" 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&ilc=12&type=937811" 
FF - prefs.js..browser.search.selectedEngine: "Google" 
FF - prefs.js..keyword.URL: "http://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=937811&p=" 
O2 - BHO: (&Crawler Toolbar Helper) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found 
O3 - HKLM\..\Toolbar: (&Crawler Toolbar) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. 
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe () 
O4 - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000..\Run: [LicenseValidator] C:\Users\Wannhoff\AppData\Roaming\Identities\{36038291-BA98-4CF9-974D-E3EDE0B469B7}\LicenseValidator.exe (Saa@*Inc©) 
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O7 - HKU\S-1-5-21-1871111397-3539990770-1974983793-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 1 = C:\Users\Wannhoff\AppData\Local\{01829c48-43ff-ed99-10a9-8819c8a86cd2}\n.exe 
O8 - Extra context menu item: Crawler Search - tbr:iemenu File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) 
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 
O18 - Protocol\Handler\tbr {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll File not found 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009/06/10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] 
O33 - MountPoints2\{098e6818-aa41-11df-be60-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{098e6818-aa41-11df-be60-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{098e6827-aa41-11df-be60-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{098e6827-aa41-11df-be60-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{466413f7-ade5-11df-92d9-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{466413f7-ade5-11df-92d9-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{572c7784-5d45-11e1-a3af-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{572c7784-5d45-11e1-a3af-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{86af3eb1-5957-11e1-8fd1-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{86af3eb1-5957-11e1-8fd1-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{86af3ebd-5957-11e1-8fd1-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{86af3ebd-5957-11e1-8fd1-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{86af3ecb-5957-11e1-8fd1-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{86af3ecb-5957-11e1-8fd1-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{9000753b-aa54-11df-bec2-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{9000753b-aa54-11df-bec2-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{f23731fa-ad07-11df-9752-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{f23731fa-ad07-11df-9752-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{f2373207-ad07-11df-9752-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{f2373207-ad07-11df-9752-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
O33 - MountPoints2\{fca260ae-aaa2-11df-be05-002454608c7c}\Shell - "" = AutoRun 
O33 - MountPoints2\{fca260ae-aaa2-11df-be05-002454608c7c}\Shell\AutoRun\command - "" = F:\AutoRun.exe 
 
[2012/07/30 17:30:02 | 004,503,728 | ---- | M] () -- C:\ProgramData\ras_0oed.pad 
[2012/07/13 09:36:25 | 004,503,728 | ---- | M] () -- C:\ProgramData\to_r0tsef.pad 
[2012/07/12 12:51:55 | 004,503,728 | ---- | M] () -- C:\ProgramData\go_0molg.pad 
[2012/02/12 14:04:30 | 000,002,048 | -HS- | C] () -- C:\windows\Installer\{01829c48-43ff-ed99-10a9-8819c8a86cd2}\@ 
[2012/02/12 14:04:30 | 000,002,048 | -HS- | C] () -- C:\Users\Wannhoff\AppData\Local\{01829c48-43ff-ed99-10a9-8819c8a86cd2}\@ 
:Files


ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.