Windows Verschlüsselungs-Trojaner - OTL.txt inside

emotroester · 18.09.2012, 19:37

Hi ihrs,
ich plage mich seit einiger Zeit mit dem o.g. Trojaner. Der PC ist einer von dreien in meiner Fahrschule, irgendein Schüler hat den PC scheinbar wohl mal "zweckentfremdet", jedenfalls ist seit geraumer Zeit ein Trojaner drauf. Da ich eine Neuinstallation soweit wie möglich vermeiden möchte, habe ich den PC nach ausgiebiger Boardsuche mal mit der OTLPENet-Boot-CD gestartet. OTL.txt sagt folgendes (extras.txt gab es keine?):

Code:

ATTFilter

OTL logfile created on: 9/18/2012 9:14:13 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232.88 Gb Total Space | 207.59 Gb Free Space | 89.14% Space Free | Partition Type: NTFS
Drive D: | 38.57 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/02/10 05:28:06 | 000,240,408 | ---- | M] (Microsoft Corporation.) [On_Demand] -- C:\Programme\Microsoft\BingBar\7.1.361.0\SeaPort.EXE -- (BBUpdate)
SRV - [2012/02/10 05:28:06 | 000,193,816 | ---- | M] (Microsoft Corporation.) [Auto] -- C:\Programme\Microsoft\BingBar\7.1.361.0\BBSvc.EXE -- (BBSvc)
SRV - [2011/07/01 02:47:36 | 003,419,200 | ---- | M] (Verlag Heinrich Vogel in der Springer Transport Media GmbH) [Auto] -- C:\Programme\Vogel Verlag\Fahren Lernen Verwaltung\Vorpruefungsserver\Vogel.ENet.PreTestService.exe -- (Vogel.ENet.PreTestService)
SRV - [2011/04/20 08:38:36 | 000,262,144 | ---- | M] (Verlag Heinrich Vogel in der Springer Transport Media GmbH) [Auto] -- C:\Programme\Vogel Verlag\Gemeinsame Komponenten\FahrenLernenSync\Vogel.USBSpider.exe -- (Vogel.USBSpider)
SRV - [2010/01/13 22:10:00 | 001,738,048 | ---- | M] (WIBU-SYSTEMS AG) [Auto] -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)
SRV - [2008/11/09 16:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Auto] -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService)
SRV - [2008/01/24 07:36:22 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007/06/27 14:04:00 | 000,279,848 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007/01/09 12:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2008/04/13 14:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2007/12/12 02:35:46 | 000,212,992 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2007/09/20 06:07:40 | 000,022,016 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007/09/20 06:07:38 | 000,053,632 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006/10/04 04:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.chiliGREEN.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.chiliGREEN.com
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Fahrschule_Fun_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.search.yahoo.com/?fr=w3i&type=W3i_SP,204,0_0,StartPage,20110728,16988,0,8,0
IE - HKU\Fahrschule_Fun_ON_C\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll (Yahoo! Inc.)
IE - HKU\Fahrschule_Fun_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Gast_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\Gast_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Gast_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Gast_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = A4 C4 4F D4 65 A8 CC 01  [binary data]
IE - HKU\Gast_ON_C\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTNavAssist.dll (Yahoo! Inc.)
IE - HKU\Gast_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.chiliGREEN.com
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.chiliGREEN.com
 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://de-de.facebook.com/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2010/03/25 12:25:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/04/10 08:39:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/30 07:28:04 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2010/03/25 12:25:00 | 000,000,000 | ---D | M]
 
[2009/03/07 12:54:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\mozilla\Extensions
[2012/05/20 02:49:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\mozilla\Firefox\Profiles\blepzy1b.default\extensions
[2011/07/07 03:01:16 | 000,000,000 | ---D | M] (PriceGong) -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\mozilla\Firefox\Profiles\blepzy1b.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}
[2011/07/07 03:00:10 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\mozilla\Firefox\Profiles\blepzy1b.default\extensions\plugin@yontoo.com
[2011/11/11 05:49:24 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\FAHRSCHULE FUN\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BLEPZY1B.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012/04/10 08:39:50 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/06/07 17:12:59 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/03/05 04:45:10 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/03/05 04:45:10 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/03/05 04:45:10 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/05 04:45:10 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/05 04:45:10 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/05 04:45:10 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006/02/28 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O2 - BHO: (Shopping Assistant Plugin) - {1631550F-191D-4826-B069-D9439253D926} - C:\Programme\PriceGong\2.5.0\PriceGongIE.dll (PriceGong)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Bing Bar Helper) - {1dad3af3-ef2f-4f64-ac4b-11789189fcb6} - C:\Programme\Microsoft\BingBar\7.1.361.0\BingExt.dll (Microsoft Corporation.)
O2 - BHO: (Fast Search) - {5AB7104A-B71F-49AD-9154-F7F8806AE848} - C:\Programme\Surf Canyon\surfcanyon.dll (Surf Canyon Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo Layers\YontooIEClient.dll (Yontoo LLC)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Bing Bar) - {eec0f710-38b5-4aba-99bf-ec87564a4e13} - C:\Programme\Microsoft\BingBar\7.1.361.0\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SpiderService] C:\Programme\Vogel Verlag\Gemeinsame Komponenten\FahrenLernenSync\Vogel.USBSpider.exe (Verlag Heinrich Vogel in der Springer Transport Media GmbH)
O4 - HKU\Administrator_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Administrator_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Fahrschule_Fun_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Gast_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Gast_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - Startup: C:\Dokumente und Einstellungen\Fahrschule Fun\Lokale Einstellungen\Temp\Irkxjkxjk\fymfymfkert.exe (Al Momento Non è Registrata)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Gast_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241721797701 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241721757686 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\chiligreen.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\chiligreen.bmp
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/01/12 05:00:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/09/18 12:34:59 | 000,021,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidserv.dll
[2012/05/11 03:26:51 | 000,000,000 | ---D | C] -- C:\9cd7ccf63987261dd6bc0fd661
[2012/04/11 02:57:42 | 000,148,480 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\imagehlp.dll
[2012/04/10 23:39:33 | 000,527,208 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\HPDiscoPM5412.dll
[2012/04/10 23:39:09 | 001,792,872 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\HPScanMiniDrv_OJ6500_E710nz.dll
[2012/04/10 23:38:57 | 000,267,112 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpinksts5412LM.dll
[2012/04/10 23:38:57 | 000,232,296 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpinksts5412.dll
[2012/04/10 23:38:57 | 000,213,864 | ---- | C] (Hewlett-Packard Co.) -- C:\WINDOWS\System32\hpinkcoi5412.dll
[1999/03/11 13:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998/12/08 22:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998/12/08 22:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998/12/08 22:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998/12/08 22:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998/12/08 22:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2103 C:\DOKUME~1\FAHRSC~1\LOKALE~1\Temp\*.tmp files -> C:\DOKUME~1\FAHRSC~1\LOKALE~1\Temp\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/09/18 12:56:10 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/09/18 12:54:26 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/09/18 12:47:45 | 1878,249,472 | -HS- | M] () -- C:\hiberfil.sys
[2012/09/18 12:43:20 | 000,708,468 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/09/18 12:43:20 | 000,641,466 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/09/18 12:43:20 | 000,193,284 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/09/18 12:43:20 | 000,157,512 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/08/07 04:10:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
[2012/06/08 10:47:37 | 000,065,536 | ---- | M] (Al Momento Non è Registrata) -- C:\DOKUME~1\FAHRSC~1\LOKALE~1\Temp\Irkxjkxjk\fymfymfkert.exe
[2012/05/31 23:40:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
[2012/05/31 09:22:01 | 000,604,160 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\crypt32.dll
[2012/05/12 01:17:13 | 000,125,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/12 01:13:49 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/05 08:00:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
[2012/04/11 13:21:22 | 002,071,424 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\ntkrnlpa.exe
[2012/04/11 13:21:22 | 002,071,424 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlpa.exe
[2012/04/11 09:51:24 | 002,029,056 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe
[2012/04/11 09:51:18 | 002,150,912 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe
[2012/04/11 09:51:18 | 001,862,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\win32k.sys
[2012/04/11 09:51:18 | 001,862,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\win32k.sys
[2012/04/11 09:51:17 | 002,194,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\ntoskrnl.exe
[2012/04/11 09:51:17 | 002,194,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe
[2012/04/10 23:40:19 | 000,000,456 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
[2012/04/10 23:39:33 | 000,001,929 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,001,667 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP ePrintCenter - HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,000,897 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zubehör einkaufen - HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,000,892 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Officejet 6500 E710n-z Scan.lnk
[2012/03/27 02:50:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\HP_169.254.102.31_MY9B53X03M05G2
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/10 23:40:19 | 000,000,456 | ---- | C] () -- C:\WINDOWS\tasks\At4.job
[2012/04/10 23:40:19 | 000,000,456 | ---- | C] () -- C:\WINDOWS\tasks\At3.job
[2012/04/10 23:40:19 | 000,000,456 | ---- | C] () -- C:\WINDOWS\tasks\At2.job
[2012/04/10 23:40:19 | 000,000,456 | ---- | C] () -- C:\WINDOWS\tasks\At1.job
[2012/04/10 23:39:33 | 000,001,929 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,001,667 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP ePrintCenter - HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,000,897 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zubehör einkaufen - HP Officejet 6500 E710n-z.lnk
[2012/04/10 23:39:33 | 000,000,892 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\HP Officejet 6500 E710n-z Scan.lnk
[2012/03/27 02:50:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\HP_169.254.102.31_MY9B53X03M05G2
[2012/03/13 15:13:53 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012/02/17 02:04:27 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/12/21 01:42:44 | 000,000,096 | ---- | C] () -- C:\Dokumente und Einstellungen\Fahrschule Fun\default.pls
[2011/09/01 12:12:51 | 002,415,744 | ---- | C] () -- C:\WINDOWS\DCLIP.EXE
[2011/09/01 12:12:51 | 000,340,480 | ---- | C] () -- C:\WINDOWS\hexedit.exe
[2011/09/01 12:12:51 | 000,271,680 | ---- | C] () -- C:\WINDOWS\DBU.EXE
[2010/11/03 12:39:29 | 000,078,195 | ---- | C] () -- C:\WINDOWS\hpqins05.dat
[2010/09/21 01:03:19 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2010/04/05 02:25:24 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010/03/25 12:01:35 | 000,214,530 | ---- | C] () -- C:\WINDOWS\hpwins23.dat
[2010/03/25 12:01:35 | 000,001,847 | ---- | C] () -- C:\WINDOWS\hpwmdl23.dat
[2010/01/29 14:05:12 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010/01/29 14:05:11 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Fahrschule Fun\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/06/24 11:59:59 | 000,000,375 | ---- | C] () -- C:\WINDOWS\COVERE~1.INI
[2009/05/29 18:42:20 | 000,309,248 | ---- | C] () -- C:\WINDOWS\System32\sqlite36_engine.dll
[2009/03/11 15:01:28 | 000,023,552 | ---- | C] () -- C:\WINDOWS\System32\DirectCOM.dll
[2009/03/11 07:09:01 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/03/07 12:54:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/03/06 12:21:39 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini
[2009/03/06 12:21:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NSREX.INI
[2009/03/06 11:03:22 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/03/05 04:53:56 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Fahrschule Fun\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/16 08:00:38 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009/01/12 06:26:56 | 000,001,732 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2009/01/12 05:10:57 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/01/12 04:58:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/01/12 04:54:10 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/01/12 04:53:05 | 000,125,320 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/10/04 04:14:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/10/04 04:14:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007/10/04 04:14:00 | 001,478,656 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/10/04 04:14:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007/10/04 04:14:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/10/04 04:14:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/10/04 04:14:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007/10/04 04:14:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2007/10/04 04:14:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007/08/09 18:15:47 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2007/08/09 18:15:42 | 000,708,468 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2007/08/09 18:15:42 | 000,641,466 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2007/08/09 18:15:42 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007/08/09 18:15:42 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007/08/09 18:15:42 | 000,193,284 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2007/08/09 18:15:42 | 000,157,512 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2007/08/09 18:15:42 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007/08/09 18:15:42 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007/08/09 18:15:41 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007/08/09 18:15:41 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007/08/09 18:15:40 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2007/08/09 18:15:38 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007/08/09 18:15:38 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2007/08/09 18:15:31 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2007/08/09 18:15:31 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007/08/09 18:15:31 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2006/03/27 04:20:55 | 000,001,626 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2011/07/08 03:13:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\com.w3i.FlipToast
[2009/09/02 09:09:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\ICQ
[2012/06/08 10:48:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\PriceGong
[2010/12/27 05:24:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\Shareaza
[2011/09/27 12:09:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\Systweak
[2009/03/11 05:07:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\T-Online
[2012/02/15 13:30:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\TeamViewer
[2009/03/07 03:23:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fahrschule Fun\Anwendungsdaten\TuneUp Software
[2009/12/25 11:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ICQ
[2012/09/18 12:50:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\PriceGong
[2009/04/01 12:23:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\TuneUp Software
[2011/07/07 03:01:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters
[2009/05/07 14:44:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
[2011/07/07 03:04:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Registry Helper
[2009/03/11 05:06:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2011/07/07 03:00:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
[2011/09/23 12:10:19 | 000,000,400 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
[2012/08/07 04:10:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job
[2012/04/10 23:40:19 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\At2.job
[2012/05/31 23:40:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\At3.job
[2012/05/05 08:00:00 | 000,000,456 | ---- | M] () -- C:\WINDOWS\Tasks\At4.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Fahrschule Fun\Eigene Dateien\Shareaza Downloads:Shareaza.GUID
< End of report >

Kann mir jemand helfen, damit der Bock wieder rennt?
Vielen Dank schonmal im Voraus!
Kai

Ist glaube im Analyse-Unterforum besser aufgehoben, habe es da geposted

schrauber · 19.09.2012, 10:33

Hi,

Bootet der Rechner nicht mehr normal?

emotroester · 19.09.2012, 22:59

Hi,
nein, nach der Anmeldung als Administrator (bzw. User "Fahrschule Fun") bootet er zwar, aber zum Schluß kommt diese Meldung vom Windows Verschlüsselungs-Trojaner, wo man den Ukash-Code eingeben soll.

schrauber · 20.09.2012, 06:57

Dann boote in den abgesicherten Modus:

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.

Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

emotroester · 20.09.2012, 08:55

Der abgesicherte Modus funktioniert nicht. Ein paar Sekunden, nachdem ich ihn ausgewählt habe, macht der PC einen Reboot...

schrauber · 20.09.2012, 09:00

Versuch mal ob Du in den abgesicherten Modus mit Eingabeaufforderung kommst.

emotroester · 20.09.2012, 11:51

Geht auch nicht. Kein abgesicherter Modus funktioniert. Beim Gastzugang kommt der Sperrbildschirm des Trojaners nicht.

schrauber · 20.09.2012, 11:56

Jo aber der hat keine Rechte.

Falls Du kein Brennprogramm installiert hast, lade
dir bitte ISOBurner herunter.
Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen.
Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop.
Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von mit der OTLPE CD.
Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

emotroester · 20.09.2012, 15:12

Hm? Die OTL.txt steht doch oben im ersten Posting?

schrauber · 20.09.2012, 15:51

Hehe, Memo an mich: Zu viel Kaffee

Starte bitte OTLPE nochmal. In die CustomScan/Fix Box folgendes kopieren(bzw Text speichern in Notepad und DAtei rüberkopieren via Stick oder ähnliches)

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Fahrschule Fun\Lokale Einstellungen\Temp\Irkxjkxjk\fymfymfkert.exe (Al Momento Non è Registrata)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Fahrschule_Fun_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/06/08 10:47:37 | 000,065,536 | ---- | M] (Al Momento Non è Registrata) -- C:\DOKUME~1\FAHRSC~1\LOKALE~1\Temp\Irkxjkxjk\fymfymfkert.exe

:files
C:\WINDOWS\tasks\At*.job
:Commands
[emptytemp]

Fix Button drücken, Reboot in den Normalmodus und mir freudig mitteilen dass es wieder geht

emotroester · 23.09.2012, 19:12

Hat funktioniert, vielen vielen Dank!

schrauber · 23.09.2012, 20:11

Dann bitte jetzt Combofix im Normalmodus

Die Kiste is noch nit sauber.

19.09.2012, 10:33	#2
schrauber /// the machine /// TB-Ausbilder	Windows Verschlüsselungs-Trojaner - OTL.txt inside Hi, Bootet der Rechner nicht mehr normal? __________________ __________________

20.09.2012, 09:00	#6
schrauber /// the machine /// TB-Ausbilder	Windows Verschlüsselungs-Trojaner - OTL.txt inside Versuch mal ob Du in den abgesicherten Modus mit Eingabeaufforderung kommst. __________________ --> Windows Verschlüsselungs-Trojaner - OTL.txt inside

23.09.2012, 20:11	#12
schrauber /// the machine /// TB-Ausbilder	Windows Verschlüsselungs-Trojaner - OTL.txt inside Dann bitte jetzt Combofix im Normalmodus Die Kiste is noch nit sauber. __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Windows Verschlüsselungs-Trojaner - OTL.txt inside

Plagegeister aller Art und deren Bekämpfung: Windows Verschlüsselungs-Trojaner - OTL.txt inside