Hallo,

ich habe einen Rechner vor mir, der mit dem BKA-Trojaner 1.13 infiziert ist.
Ich habe OTL durchlaufen lassen und die Logs angehängt.

Habe den Ordner mit der html-Seite vom Trojaner schon gefunden und eine verdächtige exe ausgemacht.

Wie ist jetzt zu verfahren? Wie kann ein fix für OTL erstellt werden?

Wäre nett, wenn mir jemand helfen könnte.

Grüße, Bronkowski

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) 
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) 
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System | Stopped] -- -- (Changer) 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&entrypoint={referrer:source?}&FORM=LENIE 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\S-1-5-21-809600935-3909046870-4035776682-1007\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} 
IE - HKU\S-1-5-21-809600935-3909046870-4035776682-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&entrypoint={referrer:source?}&FORM=LENIE 
IE - HKU\S-1-5-21-809600935-3909046870-4035776682-1007\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=815E971E-DEA1-4277-AF2F-05301A9366F1&apn_sauid=60EE061B-99E8-47A1-B671-A3E9F4434242 
IE - HKU\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.search.defaultengine: "Google" 
FF - prefs.js..browser.search.defaultenginename: "Google" 
FF - prefs.js..browser.search.order.1: "Ask.com" 
FF - prefs.js..browser.search.selectedEngine: "Google" 
FF - prefs.js..browser.startup.homepage: "http://www.ft.com" 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 
FF - prefs.js..network.proxy.type: 4 
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found 
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) 

O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\Installshield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) 
O4 - HKU\S-1-5-21-809600935-3909046870-4035776682-1007..\Run: [lsartpjuyatkjcp] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsartpju.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\S-1-5-21-809600935-3909046870-4035776682-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) 
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2006.01.27 04:18:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O33 - MountPoints2\{1e3a72ee-3ad8-11de-8d53-001cbfaf2ca0}\Shell\AutoRun\command - "" = wscript.exe .\.vbs 
O33 - MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\Shell - "" = AutoRun 
O33 - MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\Shell\AutoRun\command - "" = E:\setup.exe AUTORUN=1 
O33 - MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\Shell - "" = AutoRun 
O33 - MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\Shell\AutoRun - "" = Auto&Play 
O33 - MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a 
O33 - MountPoints2\{b3eeda4a-8fbb-11de-8daa-001cbfaf2ca0}\Shell\AutoRun\command - "" = E:\browsercall.exe Click-Here.HTM 
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2012.08.07 11:06:22 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsartpju.exe 
[2012.08.07 11:06:22 | 000,061,440 | ---- | M] () -- C:\Dokumente und Einstellungen\Tobias Reichert\0.0687080754269519.exe 

[2012.08.09 19:08:45 | 000,000,290 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-809600935-3909046870-4035776682-1007.job 
[2012.08.09 19:08:41 | 000,000,294 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-809600935-3909046870-4035776682-1008.job 
[2012.08.07 11:06:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upgxbipiyhavaeq 
[2012.08.07 11:06:29 | 000,000,051 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xbkaafrnguzavlg 
[2012.08.06 22:12:07 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job 
[2012.08.06 21:52:00 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-809600935-3909046870-4035776682-1008.job 
[2012.08.06 12:22:06 | 000,000,298 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-809600935-3909046870-4035776682-1007.job 

[2012.07.30 06:49:08 | 000,000,804 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\L\00000004.@ 
[2012.07.30 06:49:07 | 000,232,960 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000008.@ 
[2012.07.30 06:49:06 | 000,092,160 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000032.@ 

[2012.07.30 06:48:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Tobias Reichert\Anwendungsdaten\xsecva 
[2012.07.30 06:48:59 | 000,001,632 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\000000cb.@ 
[2012.07.30 06:48:57 | 000,013,312 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000000.@ 
[2012.07.30 06:48:56 | 000,002,048 | ---- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000004.@ 
[2006.01.27 03:01:16 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\@ 
[2006.01.27 03:01:16 | 000,002,048 | -HS- | C] () -- C:\Dokumente und Einstellungen\Tobias Reichert\Lokale Einstellungen\Anwendungsdaten\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\@ 
:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Hi t'john,

danke für Deine Hilfe. Der BKA 1.13 ist entfernt worden und das System läuft wieder sauber.

hier der logfile:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Service WDICA stopped successfully!
Service WDICA deleted successfully!
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
Service Changer stopped successfully!
Service Changer deleted successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKEY_USERS\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_USERS\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
HKU\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: "Google" removed from browser.search.defaultengine
Prefs.js: "Google" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "Google" removed from browser.search.selectedEngine
Prefs.js: "hxxp://www.ft.com" removed from browser.startup.homepage
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems
Prefs.js: jqs@sun.com:1.0 removed from extensions.enabledItems
Prefs.js: 4 removed from network.proxy.type
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}\ deleted successfully.
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM Startup deleted successfully.
C:\Programme\Gemeinsame Dateien\Installshield\UpdateService\ISUSPM.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-809600935-3909046870-4035776682-1007\Software\Microsoft\Windows\CurrentVersion\Run\\lsartpjuyatkjcp deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsartpju.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-809600935-3909046870-4035776682-1007\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1e3a72ee-3ad8-11de-8d53-001cbfaf2ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1e3a72ee-3ad8-11de-8d53-001cbfaf2ca0}\ not found.
File wscript.exe .\.vbs not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83951892-d304-11e0-9046-001cbfaf2ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83951892-d304-11e0-9046-001cbfaf2ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{83951892-d304-11e0-9046-001cbfaf2ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{83951892-d304-11e0-9046-001cbfaf2ca0}\ not found.
File E:\setup.exe AUTORUN=1 not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b03107d0-9b5d-11dd-8c32-001cbfaf2ca0}\ not found.
File E:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3eeda4a-8fbb-11de-8daa-001cbfaf2ca0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3eeda4a-8fbb-11de-8daa-001cbfaf2ca0}\ not found.
File E:\browsercall.exe Click-Here.HTM not found.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SETCF.tmp deleted successfully.
C:\WINDOWS\System32\SETD4.tmp deleted successfully.
C:\WINDOWS\System32\SETDB.tmp deleted successfully.
C:\WINDOWS\System32\SETE8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsartpju.exe not found.
C:\Dokumente und Einstellungen\Tobias Reichert\0.0687080754269519.exe moved successfully.
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-809600935-3909046870-4035776682-1007.job moved successfully.
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-809600935-3909046870-4035776682-1008.job moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upgxbipiyhavaeq folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xbkaafrnguzavlg moved successfully.
C:\WINDOWS\tasks\AppleSoftwareUpdate.job moved successfully.
C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-809600935-3909046870-4035776682-1008.job moved successfully.
C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-809600935-3909046870-4035776682-1007.job moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\L\00000004.@ moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000008.@ moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000032.@ moved successfully.
C:\Dokumente und Einstellungen\Tobias Reichert\Anwendungsdaten\xsecva folder moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\000000cb.@ moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000000.@ moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000004.@ moved successfully.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\@ moved successfully.
C:\Dokumente und Einstellungen\Tobias Reichert\Lokale Einstellungen\Anwendungsdaten\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\@ moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\Tobias Reichert\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Tobias Reichert\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 123724 bytes
->Temporary Internet Files folder emptied: 122094 bytes
 
User: All Users
 
User: Christoph Reichert
->Temp folder emptied: 124910 bytes
->Temporary Internet Files folder emptied: 187816 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: Deivid J Hoffmann
->Temp folder emptied: 26902072 bytes
->Temporary Internet Files folder emptied: 745236 bytes
->Java cache emptied: 18287787 bytes
->FireFox cache emptied: 107402674 bytes
->Flash cache emptied: 216331 bytes
 
User: Gast
->Temp folder emptied: 126510726 bytes
->Temporary Internet Files folder emptied: 1698260 bytes
->Java cache emptied: 5408603 bytes
->FireFox cache emptied: 30852778 bytes
->Flash cache emptied: 3157 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 7490803 bytes
->Flash cache emptied: 774 bytes
 
User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 133387888 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 22311 bytes
 
User: Tobias Reichert
->Temp folder emptied: 750378048 bytes
->Temporary Internet Files folder emptied: 145877035 bytes
->Java cache emptied: 45318808 bytes
->FireFox cache emptied: 83313225 bytes
->Flash cache emptied: 40933 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 354307469 bytes
RecycleBin emptied: 25457802 bytes
 
Total Files Cleaned = 1.778,00 mb
 
 
[EMPTYFLASH]
 
User: Administrator
 
User: All Users
 
User: Christoph Reichert
 
User: Default User
 
User: Deivid J Hoffmann
->Flash cache emptied: 0 bytes
 
User: Gast
->Flash cache emptied: 0 bytes
 
User: LocalService
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Flash cache emptied: 0 bytes
 
User: Tobias Reichert
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08102012_202642

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Grüße Bronkowski

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Der Rechner läuft ganz ok wenn man das Alter und den ganzen Quatsch bedenkt.

Avira hat einen TR/ATRAPS.Gen gemeldet.

Werde jetzt mal Malwarebytes drüberlaufen lassen.
Mal gucken wie es dann aussieht.

Grüße, Bronkowski

Gut, bitte mit Logfiles wieder melden!

So ist endlich fertig.
Sah nicht so gut aus:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.10.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.11
Tobias Reichert :: TREICHERTTP [Administrator]

10.08.2012 21:05:59
mbam-log-2012-08-10 (21-05-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 379319
Laufzeit: 2 Stunde(n), 27 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 24
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0024527.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0024533.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0024541.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0025541.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0026541.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0026555.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0027559.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0026548.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028557.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028560.exe (Trojan.Winlock.P) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028568.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028574.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028581.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028585.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP109\A0028608.ini (Trojan.0access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000004.@ (Rootkit.Zaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000000.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08102012_202642\C_WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000004.@ (Rootkit.Zaccess) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08102012_202642\C_WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08102012_202642\C_WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\000000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08102012_202642\C_WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000000.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\08102012_202642\C_WINDOWS\Installer\{1a475dd8-5dd3-44b2-0da4-d1369d53f4b6}\U\80000032.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

lasse jetzt mal den adwcleaner drüberlaufen

so AdwCleaner drüberlaufen lassen.

Sieht ok aus.

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v1.800 - Logfile created 08/10/2012 at 23:43:26
# Updated 01/08/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Tobias Reichert - TREICHERTTP
# Running from : C:\Dokumente und Einstellungen\Tobias Reichert\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask

***** [Registry] *****

Key Found : HKLM\SOFTWARE\Classes\S

***** [Registre - GUID] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v7.0.5730.11

[OK] Registry is clean.

*************************

AdwCleaner[R1].txt - [682 octets] - [10/08/2012 23:43:26]

########## EOF - C:\AdwCleaner[R1].txt - [809 octets] ##########
         

Danke nochmal

Grüße, Bronkowski

Bitte einen Scan mit: http://www.trojaner-board.de/114276-...s-remover.html

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.