Auch der GVU Trojaner

mc_fly · 02.10.2012, 10:53

Hallo an alle!

Auch ich habe es geschafft auf einen PC den GVU Trojaner zu bekommen.

Ich habe auch schon versucht mit Hilfe der Kaspersky-Software von CHIP den PC zum Laufen zu bringen. Aber der PC bleibt immer an der Stelle

Zitat:

Remounting remaining filesystems read-only

hängen.

Dann bin ich auf euer Forum gestoßen. Ich lasse gerade die Text-Dateien mittels OTLPE erstrellen... Mir ist allerding nur nicht so klar, wie ich diese Dateien hier posten kann (Sorry für die doofe Frage). Da ich den infizierten PC vorsorglich mal vom Netz getrennt habe. Oder kann ich die zwei Dateien bedenkenlos mittels Stick vom infizierten auf einen anderen Rechner laden, ohne diesen auch noch zu infizieren?

Schon mal vielen Dank im Voraus!

Gruß Martin

Edit:
Ok, habe die Datei nun mit dem Stick rübergezogen. Allerdings wurde nur eine OTL.txt erstellt. Die Extra.txt habe ich nicht gefunden.

Code:

ATTFilter

OTL logfile created on: 10/2/2012 12:40:55 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Starter Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,012.00 Mb Total Physical Memory | 797.00 Mb Available Physical Memory | 79.00% Memory free
900.00 Mb Paging File | 836.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = E: | %SystemRoot% = E:\Windows | %ProgramFiles% = E:\Program Files
Drive C: | 100.00 Mb Total Space | 74.37 Mb Free Space | 74.37% Space Free | Partition Type: NTFS
Drive D: | 244.14 Gb Total Space | 241.24 Gb Free Space | 98.81% Space Free | Partition Type: NTFS
Drive E: | 40.85 Gb Total Space | 12.80 Gb Free Space | 31.32% Space Free | Partition Type: NTFS
Drive X: | 991.20 Mb Total Space | 672.64 Mb Free Space | 67.86% Space Free | Partition Type: FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012/07/13 07:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- E:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/05/08 14:50:00 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/05/08 14:49:57 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/05/08 14:49:57 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- D:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/09/27 15:03:28 | 000,295,192 | ---- | M] (Logitech, Inc.) [On_Demand] -- E:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2011/09/05 05:04:54 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto] -- E:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011/06/30 22:51:12 | 000,353,360 | ---- | M] (Dritek System Inc.) [Auto] -- E:\Program Files\Launch Manager\dsiwmis.exe -- (DsiWMIService)
SRV - [2011/05/29 22:54:14 | 000,036,456 | ---- | M] (Acer Incorporated) [Auto] -- E:\Program Files\Packard Bell\Registration\GREGsvc.exe -- (GREGService)
SRV - [2011/05/10 08:01:36 | 000,739,944 | ---- | M] (Acer Incorporated) [Auto] -- E:\Program Files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe -- (ePowerSvc)
SRV - [2011/04/22 12:44:14 | 000,244,624 | ---- | M] (Acer Incorporated) [Auto] -- E:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe -- (Live Updater Service)
SRV - [2011/03/07 04:45:22 | 001,755,136 | ---- | M] (Realsil Microelectronics Inc.) [Auto] -- E:\Program Files\Realtek\Realtek PCIE Card Reader\RIconMan.exe -- (IconMan_R)
SRV - [2010/11/06 02:54:22 | 000,013,336 | ---- | M] (Intel Corporation) [Auto] -- E:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel(R)
SRV - [2010/10/12 13:59:12 | 000,206,072 | ---- | M] (WildTangent, Inc.) [On_Demand] -- E:\Program Files\WildTangent Games\App\GamesAppService.exe -- (GamesAppService)
SRV - [2010/09/29 21:06:46 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) [Auto] -- E:\Program Files\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor9.0)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- E:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2009/02/26 13:36:22 | 000,064,856 | ---- | M] (Microsoft Corporation) [On_Demand] -- D:\Programme\Microsoft Office\Office12\GrooveAuditService.exe -- (Microsoft Office Groove Audit Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2012/05/08 14:50:01 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/08 14:50:01 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- E:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/10/19 11:56:15 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/09/02 02:31:28 | 000,039,192 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2011/09/02 02:31:28 | 000,030,360 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV - [2011/09/02 02:31:20 | 000,041,240 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2011/03/17 05:42:26 | 002,158,592 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2011/03/06 23:46:26 | 000,252,520 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- E:\Windows\System32\drivers\RtsPStor.sys -- (RSPCIESTOR)
DRV - [2010/11/20 17:29:24 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 17:29:03 | 000,027,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- E:\Windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV - [2010/06/17 10:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- E:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/06/20 23:54:54 | 000,269,736 | R--- | M] (Sunbelt Software, Inc.) [Kernel | System] -- E:\Windows\System32\drivers\SbFw.sys -- (SbFw)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://packardbell.msn.com
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://packardbell.msn.com
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Angelika_ON_E\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://packardbell.msn.com
IE - HKU\Angelika_ON_E\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Angelika_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://google.de"
FF - prefs.js..extensions.enabledItems: {66E978CD-981F-47DF-AC42-E3CF417C1467}:0.4.3
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: E:\Windows\System32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: E:\Windows\System32\npdeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.6.2: E:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: E:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: E:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: E:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0: E:\Program Files\WildTangent Games\App\BrowserIntegration\Registered\7\NP_wtapp.dll ()
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: E:\ProgramData\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: E:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.24\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012/09/13 05:01:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.24\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2012/09/13 05:02:55 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012/09/13 05:01:14 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2012/09/13 05:02:55 | 000,000,000 | ---D | M]
 
[2011/11/15 13:04:53 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Angelika\AppData\Roaming\Mozilla\Extensions
[2012/05/02 05:47:14 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\extensions
[2011/11/15 13:05:23 | 000,000,000 | ---D | M] (New Tab Homepage) -- E:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\extensions\{66E978CD-981F-47DF-AC42-E3CF417C1467}
File not found (No name found) -- 
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - E:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] E:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ApnUpdater] E:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [EvtMgr6] D:\Programme\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [GrooveMonitor] D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [LManager] E:\Program Files\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [PDFPrint] D:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [Power Management] E:\Program Files\Packard Bell\Packard Bell Power Management\ePowerTray.exe (Acer Incorporated)
O4 - HKU\Angelika_ON_E..\Run: [gqptoicagqparbc] E:\Windows\gqptoica.exe ()
O4 - HKU\LocalService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_E..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - E:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - E:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll - E:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 09:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/10/01 08:58:05 | 000,000,000 | ---D | C] -- E:\ProgramData\fdpvapyagnipelf
[2012/09/26 08:12:40 | 000,245,760 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\OxpsConverter.exe
[2012/09/23 04:19:53 | 002,382,848 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\mshtml.tlb
[2012/09/23 04:19:52 | 000,420,864 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\vbscript.dll
[2012/09/23 04:19:52 | 000,065,024 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jsproxy.dll
[2012/09/23 04:19:51 | 000,607,744 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\msfeeds.dll
[2012/09/23 04:19:51 | 000,176,640 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\ieui.dll
[2012/09/23 04:19:51 | 000,142,848 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\ieUnatt.exe
[2012/09/23 04:19:49 | 000,717,824 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jscript.dll
[2012/09/23 04:19:48 | 001,800,704 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\jscript9.dll
[2012/09/23 04:19:48 | 000,231,936 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\url.dll
[2012/09/23 04:19:45 | 001,427,968 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\inetcpl.cpl
[2012/09/22 04:35:11 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF24
[2012/09/12 06:56:55 | 000,033,280 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\drivers\RNDISMP.sys
[2012/09/12 06:56:54 | 000,240,496 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\drivers\netio.sys
[2012/09/12 06:56:54 | 000,187,760 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\drivers\FWPKCLNT.SYS
[2012/09/12 06:56:53 | 000,490,496 | ---- | C] (Microsoft Corporation) -- E:\Windows\System32\d3d10level9.dll
[2012/09/06 10:49:47 | 000,000,000 | ---D | C] -- E:\Users\Angelika\AppData\Roaming\Skype
[2012/09/06 10:49:08 | 000,000,000 | ---D | C] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
[2012/09/06 10:49:08 | 000,000,000 | ---D | C] -- E:\Program Files\Common Files\Skype
[2012/09/06 10:49:07 | 000,000,000 | R--D | C] -- E:\Program Files\Skype
 
========== Files - Modified Within 30 Days ==========
 
[2012/10/01 09:58:48 | 000,067,584 | --S- | M] () -- E:\Windows\bootstat.dat
[2012/10/01 09:58:40 | 795,762,688 | -HS- | M] () -- E:\hiberfil.sys
[2012/10/01 08:58:04 | 000,076,339 | ---- | M] () -- E:\ProgramData\cvnwbqwnwedalkr
[2012/10/01 08:57:51 | 000,086,016 | ---- | M] () -- E:\Windows\gqptoica.exe
[2012/10/01 08:57:51 | 000,086,016 | ---- | M] () -- E:\ProgramData\gqptoica.exe
[2012/09/29 11:58:39 | 000,016,160 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/09/29 11:58:39 | 000,016,160 | -H-- | M] () -- E:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/09/27 02:50:00 | 003,333,731 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193104.jpg
[2012/09/27 02:50:00 | 003,234,922 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193051.jpg
[2012/09/27 02:50:00 | 003,181,578 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193122.jpg
[2012/09/27 02:50:00 | 003,073,609 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193227.jpg
[2012/09/27 02:50:00 | 003,068,815 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193155.jpg
[2012/09/27 02:50:00 | 003,024,611 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_192939.jpg
[2012/09/27 02:50:00 | 003,002,287 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_192924.jpg
[2012/09/27 02:50:00 | 002,990,799 | ---- | M] () -- E:\Users\Angelika\Desktop\20120926_193134.jpg
[2012/09/22 04:35:11 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF24
[2012/09/19 05:52:44 | 000,654,166 | ---- | M] () -- E:\Windows\System32\perfh007.dat
[2012/09/19 05:52:44 | 000,616,008 | ---- | M] () -- E:\Windows\System32\perfh009.dat
[2012/09/19 05:52:44 | 000,130,006 | ---- | M] () -- E:\Windows\System32\perfc007.dat
[2012/09/19 05:52:44 | 000,106,388 | ---- | M] () -- E:\Windows\System32\perfc009.dat
[2012/09/13 05:38:47 | 000,407,464 | ---- | M] () -- E:\Windows\System32\FNTCACHE.DAT
[2012/09/13 05:01:24 | 000,000,835 | ---- | M] () -- E:\Users\Angelika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/09/13 05:01:24 | 000,000,000 | R--D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
[2012/09/06 10:49:08 | 000,000,000 | ---D | M] -- E:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype
 
========== Files Created - No Company Name ==========
 
[2012/10/01 08:58:04 | 000,086,016 | ---- | C] () -- E:\Windows\gqptoica.exe
[2012/10/01 08:58:04 | 000,086,016 | ---- | C] () -- E:\ProgramData\gqptoica.exe
[2012/10/01 08:57:52 | 000,076,339 | ---- | C] () -- E:\ProgramData\cvnwbqwnwedalkr
[2012/09/27 02:50:00 | 003,333,731 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193104.jpg
[2012/09/27 02:50:00 | 003,234,922 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193051.jpg
[2012/09/27 02:50:00 | 003,181,578 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193122.jpg
[2012/09/27 02:50:00 | 003,073,609 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193227.jpg
[2012/09/27 02:50:00 | 003,068,815 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193155.jpg
[2012/09/27 02:50:00 | 003,024,611 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_192939.jpg
[2012/09/27 02:50:00 | 003,002,287 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_192924.jpg
[2012/09/27 02:50:00 | 002,990,799 | ---- | C] () -- E:\Users\Angelika\Desktop\20120926_193134.jpg
[2012/07/15 09:30:14 | 000,004,096 | -H-- | C] () -- E:\Users\Angelika\AppData\Local\keyfile3.drm
[2012/02/05 13:04:48 | 000,000,010 | ---- | C] () -- E:\Windows\popcinfo.dat
[2011/11/08 12:13:35 | 000,434,176 | ---- | C] () -- E:\Windows\System32\ZSHP1018.EXE
[2011/09/09 01:07:57 | 000,654,166 | ---- | C] () -- E:\Windows\System32\perfh007.dat
[2011/09/09 01:07:57 | 000,295,922 | ---- | C] () -- E:\Windows\System32\perfi007.dat
[2011/09/09 01:07:57 | 000,130,006 | ---- | C] () -- E:\Windows\System32\perfc007.dat
[2011/09/09 01:07:57 | 000,038,104 | ---- | C] () -- E:\Windows\System32\perfd007.dat
[2011/08/04 06:25:23 | 000,247,560 | ---- | C] () -- E:\Windows\System32\drivers\RTConvEQ.dat
[2011/08/04 06:25:23 | 000,039,672 | ---- | C] () -- E:\Windows\System32\drivers\RtPCEE3.DAT
[2011/08/04 06:25:23 | 000,029,494 | ---- | C] () -- E:\Windows\System32\drivers\RtPCEE4.DAT
[2011/08/04 06:25:23 | 000,001,448 | ---- | C] () -- E:\Windows\System32\drivers\RtHdatEx.dat
[2011/08/04 06:25:23 | 000,000,520 | ---- | C] () -- E:\Windows\System32\drivers\RTEQEX3.dat
[2011/08/04 06:25:23 | 000,000,520 | ---- | C] () -- E:\Windows\System32\drivers\RTEQEX2.dat
[2011/08/04 06:25:23 | 000,000,520 | ---- | C] () -- E:\Windows\System32\drivers\RTEQEX1.dat
[2011/08/04 06:25:23 | 000,000,520 | ---- | C] () -- E:\Windows\System32\drivers\RTEQEX0.dat
[2011/08/04 06:25:23 | 000,000,176 | ---- | C] () -- E:\Windows\System32\drivers\RTHDAEQ1.dat
[2011/08/04 06:25:23 | 000,000,040 | ---- | C] () -- E:\Windows\System32\drivers\rtkhdaud.dat
[2011/08/04 06:22:31 | 000,080,416 | ---- | C] () -- E:\Windows\System32\RtNicProp32.dll
[2010/11/20 17:29:24 | 000,252,928 | ---- | C] () -- E:\Windows\System32\DShowRdpFilter.dll
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- E:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,407,464 | ---- | C] () -- E:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,616,008 | ---- | C] () -- E:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- E:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,106,388 | ---- | C] () -- E:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- E:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- E:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- E:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- E:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- E:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- E:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- E:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2011/11/08 10:26:19 | 000,000,000 | -HSD | M] -- E:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Application Data
[2011/08/04 06:58:52 | 000,000,000 | ---D | M] -- E:\ProgramData\CLSK
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Documents
[2011/11/08 10:26:19 | 000,000,000 | -HSD | M] -- E:\ProgramData\Dokumente
[2012/08/20 09:17:57 | 000,000,000 | ---D | M] -- E:\ProgramData\elsterformular
[2011/11/08 10:26:19 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Favorites
[2012/10/01 08:58:05 | 000,000,000 | ---D | M] -- E:\ProgramData\fdpvapyagnipelf
[2011/08/04 06:58:52 | 000,000,000 | ---D | M] -- E:\ProgramData\install_clap
[2011/11/08 10:30:11 | 000,000,000 | ---D | M] -- E:\ProgramData\oem
[2011/08/04 07:01:00 | 000,000,000 | ---D | M] -- E:\ProgramData\Packard Bell
[2011/11/08 13:05:33 | 000,000,000 | ---D | M] -- E:\ProgramData\regid.1986-12.com.adobe
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Start Menu
[2011/11/08 10:26:19 | 000,000,000 | -HSD | M] -- E:\ProgramData\Startmenü
[2011/09/08 15:44:31 | 000,000,000 | ---D | M] -- E:\ProgramData\Temp
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- E:\ProgramData\Templates
[2011/11/08 10:26:19 | 000,000,000 | -HSD | M] -- E:\ProgramData\Vorlagen
[2012/02/05 09:16:37 | 000,000,000 | ---D | M] -- E:\ProgramData\Wild Tangent
[2012/09/13 05:00:09 | 000,000,000 | ---D | M] -- E:\ProgramData\WildTangent
[2012/04/21 10:44:41 | 000,000,000 | ---D | M] -- E:\ProgramData\Zylom
[2009/07/14 00:53:46 | 000,016,988 | ---- | M] () -- E:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

t'john · 02.10.2012, 17:07

Fixen mit OTLpe

Starte den unbootbaren Computer erneut mit der OTLPE-CD,
warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.

Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
Sollte das mangels Internet-Verbindung nicht möglich sein,
kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:

Code:

ATTFilter

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Angelika_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - prefs.js..browser.startup.homepage: "http://google.de" 
FF - prefs.js..extensions.enabledItems: {66E978CD-981F-47DF-AC42-E3CF417C1467}:0.4.3 
File not found (No name found) -- 
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O4 - HKLM..\Run: [] File not found 
O4 - HKLM..\Run: [ApnUpdater] E:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName}) 
O4 - HKU\Angelika_ON_E..\Run: [gqptoicagqparbc] E:\Windows\gqptoica.exe () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found 
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - E:\autoexec.bat -- [ NTFS ] 
O32 - AutoRun File - [2006/03/24 09:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ] 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
:Files

E:\ProgramData\*.exe
E:\ProgramData\TEMP
E:\Users\Angelika\*.tmp
E:\Users\Angelika\AppData\Local\{*}
E:\Users\Angelika\AppData\Local\Temp\*.exe
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
ipconfig /flushdns /c
:Commands
[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf .
Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.

mc_fly · 03.10.2012, 11:14

Mein zweiter PC hat nun auch den GUV-Trojaner. Ich glaube, es kam durch ein Pop-up das mit dem IE anstatt mit dem "sichereren" Firefox geöffnet wurde.

Für den zweiten PC werde ich natürlich einen anderen Thread erstellen. Allerdings habe ich im Vorfeld eine Frage dazu:

Wenn ich den Memorystick mit der OTL.txt nun in meinen dritten und letzten PC stecke, um die Datei hier zu posten. Besteht die Gefahr, dass dieser auf diesem Weg auch infiziert werden kann? Oder geschieht dies nur über das Öffnen von verseuchten Websites?

Vielen Dank im Voraus.

Gruß Martin

Edit: Oder gibt es die Möglichkeit über den Reatogo-X-Pe-Desktop ins Internet zu kommen? Wenn ich dort den IE öffne, kommt nur, dass kein Server gefunden wurde.

t'john · 03.10.2012, 14:47

Zitat:

Wenn ich den Memorystick mit der OTL.txt nun in meinen dritten und letzten PC stecke, um die Datei hier zu posten. Besteht die Gefahr, dass dieser auf diesem Weg auch infiziert werden kann?

Nein.

Zitat:

Oder geschieht dies nur über das Öffnen von verseuchten Websites?

Ja.

Bitte mit dem Fix weitermachen.

mc_fly · 03.10.2012, 14:51

Sorry, dass ich eine zweite Antwort poste, aber die vorherige lies sich nicht mehr editieren.

Ich hab die fix.txt erstellt. Und alle weiteren Punkte so ausgeführt, wie du es beschrieben hast. Allerdings erscheint nun nach dem Fix-Durchlauf nicht ein OK sondern die Frage

Zitat:

The system requires a reboot to finish removing files. Do you want to reboot nox? YES NO

Außerdem ist mir aufgefallen, dass das was früher mal C: war hier als E: dargestellt wird.

Das angesprochene Log-File konnte ich nicht finden.

t'john · 03.10.2012, 14:53

Windows normal, starten Log suchen.

mc_fly · 03.10.2012, 15:04

Sooo...der PC lässt sich wieder hochfahren und die LOG habe ich auch gefunden:

Code:

ATTFilter

========== OTL ==========
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\Angelika_ON_E\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: "hxxp://google.de" removed from browser.startup.homepage
Prefs.js: {66E978CD-981F-47DF-AC42-E3CF417C1467}:0.4.3 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
E:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
File E:\Program Files\Ask.com\GenericAskToolbar.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.
E:\Program Files\Ask.com\Updater\Updater.exe moved successfully.
Registry value HKEY_USERS\Angelika_ON_E\Software\Microsoft\Windows\CurrentVersion\Run\\gqptoicagqparbc deleted successfully.
E:\Windows\gqptoica.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:/pagefile deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
E:\autoexec.bat moved successfully.
X:\AUTORUN.INF moved successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully.
========== FILES ==========
E:\ProgramData\gqptoica.exe moved successfully.
E:\ProgramData\Temp\{64EF903E-D00A-414C-94A4-FBA368FFCDC9} folder moved successfully.
E:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} folder moved successfully.
E:\ProgramData\Temp folder moved successfully.
File\Folder E:\Users\Angelika\*.tmp not found.
E:\Users\Angelika\AppData\Local\{3FC21171-5791-4A23-9457-C69E74E011BE} folder moved successfully.
E:\Users\Angelika\AppData\Local\{4DE84F27-A69A-425D-B8DA-CF884BA51D28} folder moved successfully.
E:\Users\Angelika\AppData\Local\{BEE09430-43DB-4D17-99CB-E5574B8AC05E} folder moved successfully.
E:\Users\Angelika\AppData\Local\Temp\derm32.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\jre-7u3-windows-i586-iftw.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\jre-7u6-windows-i586-iftw.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\lj1018-HB-pd-win32-enp.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\LMkRstPt.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\ose00000.exe moved successfully.
E:\Users\Angelika\AppData\Local\Temp\pdf24-creator-update.exe moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.
E:\Users\Angelika\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows IP Configuration
E:\cmd.bat deleted successfully.
E:\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Angelika
->Temp folder emptied: 144714613 bytes
->Temporary Internet Files folder emptied: 322509217 bytes
->FireFox cache emptied: 85242455 bytes
->Flash cache emptied: 152333 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
 
User: Default User
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 127404002 bytes
 
Total Files Cleaned = 649.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 10042012_003756

t'john · 03.10.2012, 15:09

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktualisiere die Datenbank!
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

mc_fly · 03.10.2012, 15:54

Habe Schritt 1 ausgeführt.

Allerdings ist mir eben aufgefallen, dass ich den Quick-Scan wie in eurer Anleitung beschrieben und nicht wie du geschrieben hast den vollständigen Scan ausgeführt habe.

Soll ich sicherheitshalber den vollständigen Scan auch noch durchlaufen lassen oder direkt mit dem AdwCleaner weitermachen?

Zitat:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.03.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Angelika :: PB_DOTS [Administrator]

Schutz: Aktiviert

04.10.2012 01:34:59
mbam-log-2012-10-04 (01-34-59).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191190
Laufzeit: 9 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Angelika\0.1806619977560011.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Jetzt habe ich auch noch den vollständigen Scan durchlaufen lassen. Irre ich mich oder hat das Programm nur die Trojaner gefunden, die eh schon in der Quarantäne (von OTLPE?) sind?:

Zitat:

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.03.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Angelika :: PB_DOTS [Administrator]

Schutz: Aktiviert

04.10.2012 01:59:50
mbam-log-2012-10-04 (01-59-50).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 308561
Laufzeit: 1 Stunde(n), 42 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\_OTL\MovedFiles\10042012_003756\E_ProgramData\gqptoica.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\10042012_003756\E_Users\Angelika\AppData\Local\Temp\derm32.exe (Trojan.Phex.THAGen6) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\10042012_003756\E_Windows\gqptoica.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Schritt 2 habe ich nun auch ausgeführt. Allerdings habe ich ausversehen den AdwCleaner ausgeführt bevor ich nach Ende des vollständigen Scans mit Malwarebytes den PC neugestartet habe. Daher habe ich dann nach dem Neustart den AdwCleaner nochmals ausgeführt.

1. Mal:

Zitat:

# AdwCleaner v2.003 - Datei am 10/04/2012 um 03:51:16 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Angelika - PB_DOTS
# Bootmodus : Normal
# Ausgeführt unter : E:\AdwCleaner\adwcleaner.exe
# Option [Suche]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Program Files\Ask.com
Ordner Gefunden : C:\Users\Angelika\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\APN
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\Ask.com.tmp
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\Software\APN
Schlüssel Gefunden : HKLM\Software\AskToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v3.6.24 (de)

Profilname : default
Datei : C:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3056 octets] - [04/10/2012 03:51:16]

########## EOF - C:\AdwCleaner[R1].txt - [3116 octets] ##########

2. Mal:

Zitat:

# AdwCleaner v2.003 - Datei am 10/04/2012 um 03:57:10 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Angelika - PB_DOTS
# Bootmodus : Normal
# Ausgeführt unter : E:\AdwCleaner\adwcleaner.exe
# Option [Suche]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Program Files\Ask.com
Ordner Gefunden : C:\Users\Angelika\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\APN
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\Ask.com.tmp
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\Software\APN
Schlüssel Gefunden : HKLM\Software\AskToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v3.6.24 (de)

Profilname : default
Datei : C:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3185 octets] - [04/10/2012 03:51:16]
AdwCleaner[R2].txt - [3116 octets] - [04/10/2012 03:57:10]

########## EOF - C:\AdwCleaner[R2].txt - [3176 octets] ##########

t'john · 03.10.2012, 18:08

Zitat:

Irre ich mich oder hat das Programm nur die Trojaner gefunden, die eh schon in der Quarantäne (von OTLPE?) sind?:

Japp, die haben wir schon erwischt

adwCleaner?

mc_fly · 03.10.2012, 18:14

Zitat:

Zitat von t'john

adwCleaner?

Das steht in den letzten zwei Teilen meines vorigen Posts. Meine letzten Antworten wurden automatisch zu einer zusammengefügt. Oder meinst du etwas anderes?

Gruß Martin

Edit (04.10.12 9:15):

Ich hab den AdwCleaner nochmal laufen lassen.

Meintest du das was hier im zweiten Quote steht?:

Zitat:

# AdwCleaner v2.003 - Datei am 10/04/2012 um 18:04:59 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Angelika - PB_DOTS
# Bootmodus : Normal
# Ausgeführt unter : E:\AdwCleaner\adwcleaner.exe
# Option [Suche]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Program Files\Ask.com
Ordner Gefunden : C:\Users\Angelika\AppData\LocalLow\AskToolbar
Ordner Gefunden : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gefunden : HKCU\Software\APN
Schlüssel Gefunden : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gefunden : HKCU\Software\Ask.com
Schlüssel Gefunden : HKCU\Software\Ask.com.tmp
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gefunden : HKLM\Software\APN
Schlüssel Gefunden : HKLM\Software\AskToolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v3.6.24 (de)

Profilname : default
Datei : C:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3185 octets] - [04/10/2012 03:51:16]
AdwCleaner[R2].txt - [3245 octets] - [04/10/2012 03:57:10]
AdwCleaner[R3].txt - [3176 octets] - [04/10/2012 18:04:59]

########## EOF - C:\AdwCleaner[R3].txt - [3236 octets] ##########

Zitat:

# AdwCleaner v2.003 - Datei am 10/04/2012 um 18:05:45 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Windows 7 Starter Service Pack 1 (32 bits)
# Benutzer : Angelika - PB_DOTS
# Bootmodus : Normal
# Ausgeführt unter : E:\AdwCleaner\adwcleaner.exe
# Option [Löschen]

**** [Dienste] ****

***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Program Files\Ask.com
Ordner Gelöscht : C:\Users\Angelika\AppData\LocalLow\AskToolbar
Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

-\\ Mozilla Firefox v3.6.24 (de)

Profilname : default
Datei : C:\Users\Angelika\AppData\Roaming\Mozilla\Firefox\Profiles\0tmaekr0.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [3185 octets] - [04/10/2012 03:51:16]
AdwCleaner[R2].txt - [3245 octets] - [04/10/2012 03:57:10]
AdwCleaner[R3].txt - [3305 octets] - [04/10/2012 18:04:59]
AdwCleaner[S1].txt - [3366 octets] - [04/10/2012 18:05:45]

########## EOF - C:\AdwCleaner[S1].txt - [3426 octets] ##########

t'john · 04.10.2012, 16:00

Sehr gut!

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

mc_fly · 04.10.2012, 20:57

Habe ich erledigt.

Zitat:

Zitat von t'john

...
Am Ende des Scans nichts loeschen lassen!. ...

Ich hoffe es war so richtig, dass ich das "gefundene Objekt", wie in der Anleitung beschrieben, in Quarantäne geschickt habe.

Zitat:

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 04.10.2012 19:49:19

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn: 04.10.2012 19:50:47

C:\Users\Angelika\AppData\Roaming\funkitron gefunden: Trace.File.GameFiesta 5 Card Slingo Deluxe (A)

Gescannt 428527
Gefunden 1

Scan Ende: 04.10.2012 21:17:17
Scan Zeit: 1:26:30

C:\Users\Angelika\AppData\Roaming\funkitron Quarantäne Trace.File.GameFiesta 5 Card Slingo Deluxe (A)

Quarantäne 1

t'john · 05.10.2012, 00:34

Sehr gut!

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

mc_fly · 05.10.2012, 10:03

Auch erledigt:

Da ich mir nach dem ersten Durchlauf nicht mehr sicher war, ob ich diesen mit "als Administrator ausführen" gestartet habe, habe ich es danach noch einmal nach den genau gleichen Schritten durchgeführt.

Erster durchlauf (hier war ich mir nicht mehr sicher, ob ich diesen "als Admin" ausgeführt habe):

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=184f0b4f3dccf34a8d0ab4dd7148ce29
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-05 12:18:24
# local_time=2012-10-05 02:18:24 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 13688 101027495 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=11
# found=0
# cleaned=0
# scan_time=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=184f0b4f3dccf34a8d0ab4dd7148ce29
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-05 04:16:14
# local_time=2012-10-05 06:16:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 13760 101027567 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=138325
# found=1
# cleaned=1
# scan_time=14196
C:\ProgramData\fdpvapyagnipelf\main.html HTML/Ransom.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Zeiter Durchlauf. Hier habe ich auf jeden Fall "als Admin" gestartet:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=184f0b4f3dccf34a8d0ab4dd7148ce29
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-10-05 08:19:52
# local_time=2012-10-05 10:19:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 31640 101045447 0 0
# compatibility_mode=8192 67108863 100 0 168 168 0 0
# scanned=138350
# found=0
# cleaned=0
# scan_time=10935