Hallo zusammen,
der Rechner einer Freundin ist von dem GVU 2.07 Trojaner befallen. Auf dem Rechner läuft Windows Vista. Anbei habe ich die beiden OTL Logdateien angehangen.
Bitte helft mir bzw. ihr. ;-) Vielen Dank im Voraus!

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.



Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: gmer



Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Hacken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo Marius,

danke für deine Mühe. Anbei der GMER Scan:

[CODE]
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-10-15 21:19:23
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST9160821AS rev.3.ALC
Running: n93572n0.exe; Driver: C:\Users\Melanie\AppData\Local\Temp\axdiifow.sys


---- System - GMER 1.0.15 ----

SSDT            893F2506                                                                                  ZwCreateSection
SSDT            893F2510                                                                                  ZwRequestWaitReplyPort
SSDT            893F250B                                                                                  ZwSetContextThread
SSDT            893F2515                                                                                  ZwSetSecurityObject
SSDT            893F251A                                                                                  ZwSystemDebugControl
SSDT            893F24A7                                                                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetTimerEx + 448                                                           81AC4A6C 4 Bytes  [06, 25, 3F, 89]
.text           ntkrnlpa.exe!KeSetTimerEx + 76C                                                           81AC4D90 4 Bytes  [10, 25, 3F, 89]
.text           ntkrnlpa.exe!KeSetTimerEx + 7A0                                                           81AC4DC4 4 Bytes  [0B, 25, 3F, 89]
.text           ntkrnlpa.exe!KeSetTimerEx + 804                                                           81AC4E28 4 Bytes  [15, 25, 3F, 89]
.text           ntkrnlpa.exe!KeSetTimerEx + 84C                                                           81AC4E70 4 Bytes  [1A, 25, 3F, 89]
.text           ...                                                                                       

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!DialogBoxIndirectParamW  76B9BD25 5 Bytes  JMP 6E970F0D C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!DialogBoxParamW          76BB1FD5 5 Bytes  JMP 6E970E97 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!DialogBoxParamA          76BD80B2 5 Bytes  JMP 6E970ED2 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!DialogBoxIndirectParamA  76BD83DD 5 Bytes  JMP 6E970F48 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!MessageBoxIndirectA      76BED471 5 Bytes  JMP 6E970E53 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!MessageBoxIndirectW      76BED56B 5 Bytes  JMP 6E970E0F C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!MessageBoxExA            76BED5D1 1 Byte  [E9]
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!MessageBoxExA            76BED5D1 5 Bytes  JMP 6E970DD5 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] USER32.dll!MessageBoxExW            76BED5F5 5 Bytes  JMP 6E970D9B C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Program Files\Internet Explorer\iexplore.exe[1840] ole32.dll!OleLoadFromStream         76849794 5 Bytes  JMP 6E971123 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                  fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex@LogNumber               10

---- EOF - GMER 1.0.15 ----
         

--- --- ---

Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

hier die Combofix Logdatei:
[CODE]
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-10-16.02 - Melanie 16.10.2012  19:00:36.1.2 - x86
MicrosoftÆ Windows Vistaô Ultimate   6.0.6001.1.1252.49.1031.18.1919.955 [GMT 2:00]
ausgef¸hrt von:: c:\users\Melanie\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Outdated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Outdated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Lˆschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\lsass.exe
c:\programdata\netdislw.pad
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-09-16 bis 2012-10-16  ))))))))))))))))))))))))))))))
.
.
2012-10-16 17:08 . 2012-10-16 17:08	--------	d-----w-	c:\users\Default\AppData\Local\temp
2012-10-15 18:34 . 2012-10-15 18:34	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B03EFD3B-18FD-4DC5-8FEE-84B8073C729A}\offreg.dll
2012-10-13 12:05 . 2006-11-02 09:45	8704	----a-w-	c:\windows\system32\ctfmon.exe.backup
2012-10-13 11:01 . 2012-10-13 11:01	--------	d-----w-	c:\programdata\WindowsSearch
2012-10-11 01:28 . 2010-04-14 17:46	80896	----a-w-	c:\windows\system32\MSNP.ax
2012-10-11 01:28 . 2010-04-14 17:47	293376	----a-w-	c:\windows\system32\psisdecd.dll
2012-10-11 01:28 . 2010-04-14 17:47	217088	----a-w-	c:\windows\system32\psisrndr.ax
2012-10-10 10:24 . 2010-04-16 16:10	501760	----a-w-	c:\windows\system32\usp10.dll
2012-10-10 10:24 . 2010-09-06 16:24	125952	----a-w-	c:\windows\system32\srvsvc.dll
2012-10-10 10:24 . 2010-09-06 16:23	17920	----a-w-	c:\windows\system32\netevent.dll
2012-10-10 10:23 . 2010-09-10 16:35	168960	----a-w-	c:\program files\Windows Media Player\wmplayer.exe
2012-10-10 10:23 . 2010-09-10 16:37	8147456	----a-w-	c:\windows\system32\wmploc.DLL
2012-10-10 10:23 . 2010-10-12 13:52	515584	----a-w-	c:\program files\Windows Mail\wab.exe
2012-10-10 10:23 . 2010-10-12 15:48	33280	----a-w-	c:\program files\Windows Mail\wabfind.dll
2012-10-10 10:23 . 2010-10-12 13:52	66048	----a-w-	c:\program files\Windows Mail\wabmig.exe
2012-10-10 10:21 . 2010-10-15 14:08	3600272	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-10-10 10:21 . 2010-10-15 14:08	3548048	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-10-10 10:21 . 2010-10-15 13:48	1205080	----a-w-	c:\windows\system32\ntdll.dll
2012-10-10 10:21 . 2011-03-10 16:12	1161728	----a-w-	c:\windows\system32\mfc42u.dll
2012-10-10 10:21 . 2011-03-10 16:12	1136640	----a-w-	c:\windows\system32\mfc42.dll
2012-10-10 10:21 . 2010-01-29 16:22	1616384	----a-w-	c:\program files\Windows Mail\msoe.dll
2012-10-10 10:21 . 2010-05-27 19:16	81920	----a-w-	c:\windows\system32\iccvid.dll
2012-10-10 10:21 . 2008-04-05 03:34	15360	----a-w-	c:\windows\system32\pacerprf.dll
2012-10-10 10:21 . 2008-04-05 01:21	72192	----a-w-	c:\windows\system32\drivers\pacer.sys
2012-10-10 10:21 . 2011-02-18 13:31	304640	----a-w-	c:\windows\system32\drivers\srv.sys
2012-10-10 10:21 . 2011-07-06 14:56	213504	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2012-10-10 10:21 . 2011-04-29 12:49	79360	----a-w-	c:\windows\system32\drivers\mrxsmb20.sys
2012-10-10 10:21 . 2011-04-29 12:49	105984	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2012-10-10 10:20 . 2011-03-02 14:49	86528	----a-w-	c:\windows\system32\dnsrslvr.dll
2012-10-10 10:20 . 2009-05-04 10:11	25088	----a-w-	c:\windows\system32\dnscacheugc.exe
2012-10-10 10:20 . 2010-04-05 16:07	67072	----a-w-	c:\windows\system32\asycfilt.dll
2012-10-10 10:20 . 2010-06-28 16:15	1315840	----a-w-	c:\windows\system32\ole32.dll
2012-10-10 10:20 . 2010-06-28 14:31	339968	----a-w-	c:\program files\Windows NT\Accessories\wordpad.exe
2012-10-10 10:20 . 2010-08-17 13:32	126464	----a-w-	c:\windows\system32\spoolsv.exe
2012-10-10 10:20 . 2010-08-26 16:07	157184	----a-w-	c:\windows\system32\t2embed.dll
2012-10-10 10:20 . 2011-06-02 12:59	2042368	----a-w-	c:\windows\system32\win32k.sys
2012-10-10 10:20 . 2011-04-21 13:16	273408	----a-w-	c:\windows\system32\drivers\afd.sys
2012-10-10 10:18 . 2011-03-03 14:56	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2012-10-10 10:18 . 2011-03-03 13:01	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2012-10-10 10:18 . 2010-08-20 15:21	866816	----a-w-	c:\windows\system32\wmpmde.dll
2012-10-10 10:18 . 2010-12-29 17:41	323072	----a-w-	c:\windows\system32\sbe.dll
2012-10-10 10:18 . 2010-12-29 17:41	153088	----a-w-	c:\windows\system32\sbeio.dll
2012-10-10 10:18 . 2010-12-29 17:41	429056	----a-w-	c:\windows\system32\EncDec.dll
2012-10-10 10:18 . 2010-12-29 17:39	177664	----a-w-	c:\windows\system32\mpg2splt.ax
2012-10-10 10:18 . 2010-04-16 16:10	1314816	----a-w-	c:\windows\system32\quartz.dll
2012-10-10 10:16 . 2010-10-28 12:56	2048	----a-w-	c:\windows\system32\tzres.dll
2012-10-10 10:15 . 2008-05-08 21:59	90112	----a-w-	c:\windows\system32\wshext.dll
2012-10-10 10:15 . 2008-05-08 21:58	135168	----a-w-	c:\windows\system32\wshom.ocx
2012-10-10 10:15 . 2008-05-08 21:59	180224	----a-w-	c:\windows\system32\scrobj.dll
2012-10-10 10:15 . 2008-05-08 21:59	155648	----a-w-	c:\windows\system32\wscript.exe
2012-10-10 10:15 . 2008-05-08 21:58	135168	----a-w-	c:\windows\system32\cscript.exe
2012-10-10 10:15 . 2008-05-08 21:59	172032	----a-w-	c:\windows\system32\scrrun.dll
2012-10-10 10:15 . 2011-04-20 14:47	375808	----a-w-	c:\windows\system32\winsrv.dll
2012-10-10 10:15 . 2011-04-20 14:44	49152	----a-w-	c:\windows\system32\csrsrv.dll
2012-10-10 10:15 . 2010-12-17 16:43	2067456	----a-w-	c:\windows\system32\mstscax.dll
2012-10-10 10:15 . 2010-12-17 15:06	677888	----a-w-	c:\windows\system32\mstsc.exe
2012-10-10 10:15 . 2010-06-16 15:59	898952	----a-w-	c:\windows\system32\drivers\tcpip.sys
2012-10-10 10:14 . 2010-08-31 15:40	531968	----a-w-	c:\windows\system32\comctl32.dll
2012-10-10 10:14 . 2011-02-12 04:28	191488	----a-w-	c:\windows\system32\FXSCOVER.exe
2012-10-10 09:57 . 2011-04-29 14:54	276992	----a-w-	c:\windows\system32\schannel.dll
2012-10-09 21:33 . 2012-10-09 21:33	--------	d-----w-	C:\PerfLogs
2012-10-09 15:35 . 2012-08-30 08:17	6980552	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{B03EFD3B-18FD-4DC5-8FEE-84B8073C729A}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-13 12:05 . 2006-11-02 08:38	24064	----a-w-	c:\windows\system32\ctfmon.exe
2012-10-09 21:16 . 2006-11-02 10:32	101888	----a-w-	c:\windows\system32\ifxcardm.dll
2012-10-09 21:16 . 2006-11-02 10:32	82432	----a-w-	c:\windows\system32\axaltocm.dll
2012-10-09 15:52 . 2012-05-15 12:46	696760	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-10-09 15:52 . 2012-03-10 23:01	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2012-10-13 12:05 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\System32\ctfmon.exe
[7] 2006-11-02 . 22BFD03DF51065A9ED8D17F8FB72296B . 8704 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-t..cesframework-ctfmon_31bf3856ad364e35_6.0.6000.16386_none_9af9cad793a67953\ctfmon.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC\launcher.exe" [2012-04-16 67960]
"MobileDocuments"="c:\program files\Common Files\Apple\Internet Services\ubd.exe" [2012-02-23 59240]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776]
.
c:\users\Melanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
ctfmon.lnk - c:\programdata\lsass.exe [N/A]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK32.EXE [2012-2-16 611144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - axdiifow
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-16 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-15 15:52]
.
2012-10-15 c:\windows\Tasks\SpeedUpMyPC.job
- c:\program files\Uniblue\SpeedUpMyPC\spmonitor.exe [2012-06-08 12:27]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to MP3 Converter - c:\users\Melanie\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-05_Sloan - c:\program files\Samsung\USB Drivers\05_Sloan\Uninstall.exe
AddRemove-06_Spencer - c:\program files\Samsung\USB Drivers\06_Spencer\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-08_EMPChipset - c:\program files\Samsung\USB Drivers\08_EMPChipset\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-17_EMP_Chipset2 - c:\program files\Samsung\USB Drivers\17_EMP_Chipset2\Uninstall.exe
AddRemove-18_Zinia_Serial_Driver - c:\program files\Samsung\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
AddRemove-19_VIA_driver - c:\program files\Samsung\USB Drivers\19_VIA_driver\Uninstall.exe
AddRemove-20_NXP_Driver - c:\program files\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
AddRemove-22_WiBro_WiMAX - c:\program files\Samsung\USB Drivers\22_WiBro_WiMAX\Uninstall.exe
AddRemove-24_flashusbdriver - c:\program files\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-10-16 19:09
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteintr‰ge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2012-10-16  19:12:25
ComboFix-quarantined-files.txt  2012-10-16 17:12
.
Vor Suchlauf: 7 Verzeichnis(se), 75.423.547.392 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 75.323.936.768 Bytes frei
.
- - End Of File - - D6073E3C7DF47E41382F4D1421E66A74
         

--- --- ---

Zitat:

c:\windows\system32\ctfmon.exe.backup

Hast du mit ctfmon.exe hantiert?

Nein habe nix damit gemacht.

Das gucken wir uns doch mal an...


Virustotal



Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Durchsuchen
• Kopiere nun folgendes in die Suchleiste.
  Code: Alles auswählenAufklappen

  ATTFilter

  c:\windows\System32\ctfmon.exe
           

• und klicke auf Öffnen.
• Klicke auf Send File.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.

Zitat:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

klicke auf Reanalyse. Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Jetzt fällts mir ein. Hab doch was an der ctfmon gemacht. Hatte bevor ich mich an euch gewendet habe, versucht den Trojaner zu entfernen. In nem Thread in irgendeinem Forum habe ich den Tipp aufgegabelt, mit dem ctfmon-remover dem Bösling beizukommen. Hat natürlich nicht funktioniert. Danach hab ich mich in diesem Forum an euch gewendet.

Soll ich den Scan mit Virustotal trotzdem, wie beschrieben, ausführen?

Hie ist die Analyse von Virustotal:
https://www.virustotal.com/file/e70818d0dc35a6aaf26c2d48a74f98509f9d0c53cfa1ab604cf47532f044010f/analysis/1350497828/

Sieht ganz gut aus - kontrollieren wir alles nochmal!


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Das mbsm Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.18.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Melanie :: MELANIE-PC [Administrator]

18.10.2012 18:21:06
mbam-log-2012-10-18 (20-53-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 308704
Laufzeit: 1 Stunde(n), 8 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Melanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Keine Aktion durchgeführt.

(Ende)
         

Das ESET Logfile:

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Uniblue\SpeedUpMyPC\spmonitor.exe	Win32/SpeedUpMyPC application
C:\Program Files\Uniblue\SpeedUpMyPC\spnotifier.exe	Win32/SpeedUpMyPC application
C:\Program Files\Uniblue\SpeedUpMyPC\sp_move_serial.exe	Win32/SpeedUpMyPC application
C:\Program Files\Uniblue\SpeedUpMyPC\sp_ubm.exe	Win32/SpeedUpMyPC application
C:\Program Files\Uniblue\SpeedUpMyPC\sump.exe	Win32/SpeedUpMyPC application
C:\Users\Melanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\WFEI25O7\returning_stupid_difficulties[1].htm	HTML/Iframe.B.Gen virus
C:\Users\Melanie\AppData\Roaming\OpenCandy\B01A32623EA54D69B9547A219CDF4516\speedupmypcROE.exe	Win32/SpeedUpMyPC application
Operating memory	Win32/SpeedUpMyPC application
         

Zitat:

Keine Aktion durchgeführt.

Die Funde von MBAM müssen entfernt werden!
Mach den Scan erneut und entferne alle Funde.
Poste dann das Log!

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Entschuldige die späte Antwort. Hier der Log des MBAM Scans:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.10.18.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Melanie :: MELANIE-PC [Administrator]

22.10.2012 17:48:04
mbam-log-2012-10-22 (17-48-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300802
Laufzeit: 1 Stunde(n), 31 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Dann sind wir durch!


VLC-Player update


Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:

• Lade dir den aktuellen Player von hier herunter.
• Starte das Setup und folge den Anweisungen auf dem Bildschrim. Setup wird die alte Version des Players erkennen und dich fragen, ob vor der Installation die alte Version entfernt werden soll. Bestätige dies mit Ja.
• Nachdem die alte Version des Programms entfernt wurde, startet die Neuinstallation. Belasse alles bei den vorgegebenen Werten - es sei denn, du willst daran etwas ändern (z.B. die Dateizuordnung o.ä.).
• Melde dich umgehend, falls Schwierigkeiten auftreten.

Defogger re-enable

Starte bitte den Defogger und klicke den re-enable Button



ComboFix

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.



OTL

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

• Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
  Eine Auswahl kostenloser Antivirenprogramme:

• AVG Free Anti-Virus
• Avast! Free Anti-Virus
• Microsoft Security Essentials
  Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.