Hallo zusammen,

auch bei mir taucht auf meinen Notebook ein weißer Bildschirm mit der Meldung "Dieses Programm kann nicht die Webseite anzeigen" - Windows XP auf. Wie bei den anderen auch kann ich den Taskmanager nicht mehr benutzen.
Beim googeln ist mir dann euer Forum aufgefallen und ich habe ein paar Beiträge gelesen und auch Abarbeitungsreihenfolge nachvollzogen (gut verständlich).
Folgende Aktivitäten habe ich bereits durchgeführt:
1. Malwarebytes installiert und ausgeführt - 5 schadhafet Files gefunden und gelöscht
2. OLT auf meinen Desktop geladen und den Scan ausgeführt (der OLT Scan-Log ist beigefügt).
Wenn ich alles richtig verstanden habe benötige ich eine auf mein Problem ausgerichtete Fix-Datei, um den OLT-fix durchführen zu können. Ist das so richtig?

Vielen Dank für Eure Hilfe!

MfG Mike

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo t'john,

vielen Dank für die schnelle Hilfe!
Ich habe ein kleines Problem bei der Ausführung Malwarebytes Anti-Rootkit. Durch den abgesicherten Modus sind die Symbole sehr groß und die Displays der Programme passen nicht mehr auf dem Laptop-Bildschirm. Deswegen komme ich auch nicht auf die Buttons für "next" zum starten und "exit" zun beenden. Wenn ich die Desktop-Einstellungen verändern möchte nimmt er mir sie nicht an!!!!!
Gibt es da Möglichkeiten, um das Display des Programms im abgesicherten Modus zu verkleinern ?

Vielen Dank für die Hilfe!

MFG Mike

OK



Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

• Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
• Starte die OTL.exe.
  Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
• Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
• Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\S-1-5-21-1715982697-1612145950-1007663442-1380..\Run: [yjokqgnunuxothj] C:\WINDOWS\yjokqgnu.exe () 

[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yjokqgnu.exe 
[2012.11.15 09:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\luomyphgnpcbkzy 
[2012.11.15 09:27:13 | 000,076,339 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kamtdyftbavafwo 
[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\WINDOWS\yjokqgnu.exe 
:Commands
[emptytemp]
         

• Schließe alle Programme.
• Klicke auf den Fix Button.
• Wenn OTL einen Neustart verlangt, bitte zulassen.
• Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
  Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!


Danach normal neustarten und mit Ani-Rootkit weitermachen

Hallo t'john,

vielen Dank für den Hinweis.
Ich habe mit den obigen Parametern den OLT fix durchgefüht. Er hat auch einen Restart verlangt, den ich Normal-Modus gemacht habe. Die Ausführung des Ani-Rootkit konnte ich dann leider nicht durchführen, da wieder den weißen Bildschirm mit der bekannten Meldung bekommen habe.
Ich habe hier den Log-File des OLT fix beigefügt.

All processes killed
Error: Unable to interpret <0:OTL> in the current context!
Error: Unable to interpret <O4 - HKU\S-1-5-21-1715982697-1612145950-1007663442-1380..\Run: [yjokqgnunuxothj] C:\WINDOWS\yjokqgnu.exe () > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yjokqgnu.exe > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\luomyphgnpcbkzy > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:13 | 000,076,339 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kamtdyftbavafwo > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\WINDOWS\yjokqgnu.exe > in the current context!
========== COMMANDS ==========
Error: Unable to interpret <[emptytemp]07663442-1380..\Run: [yjokqgnunuxothj] C:\WINDOWS\yjokqgnu.exe () > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yjokqgnu.exe > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\luomyphgnpcbkzy > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:13 | 000,076,339 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kamtdyftbavafwo > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\WINDOWS\yjokqgnu.exe > in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 168849 bytes

User: admin.BTCONSULT
->Temp folder emptied: 14075306 bytes
->Temporary Internet Files folder emptied: 2270042 bytes
->Java cache emptied: 5217746 bytes
->FireFox cache emptied: 19208477 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 9628385 bytes
->Java cache emptied: 10681196 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 688530 bytes

User: NetworkService
->Temp folder emptied: 747050 bytes
->Temporary Internet Files folder emptied: 3229751 bytes
->Java cache emptied: 13 bytes

User: schossig
->Temp folder emptied: 11321713 bytes
->Temporary Internet Files folder emptied: 57006143 bytes
->Java cache emptied: 32719095 bytes
->FireFox cache emptied: 60981928 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 4459726 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 167154431 bytes
RecycleBin emptied: 3265635151 bytes

Total Files Cleaned = 3.495,00 mb

Error: Unable to interpret <O4 - HKU\S-1-5-21-1715982697-1612145950-1007663442-1380..\Run: [yjokqgnunuxothj] C:\WINDOWS\yjokqgnu.exe () > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\yjokqgnu.exe > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\luomyphgnpcbkzy > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:13 | 000,076,339 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kamtdyftbavafwo > in the current context!
Error: Unable to interpret <[2012.11.15 09:27:10 | 000,062,976 | ---- | M] () -- C:\WINDOWS\yjokqgnu.exe > in the current context!
========== COMMANDS ==========

[EMPTYTEMP]

User: admin
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: admin.BTCONSULT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

User: schossig
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11202012_102813

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Vielen Dank für die Hilfe!

MfG Mike

Du hast den Fix falsch uebertragen!
Nochmal!

Hallo t'john,

der alte Spruch bewahrheitet sich immer wieder - kaum macht man es richtig, schon funktionierts!
Erst einmal vielen Dank für die kompetente Unterstützung- es funktioniert wieder alles normal!!!!
Hier der Log-File vom Malwarebytes Anti-Rootkit - der zweite Scam-Lauf läuft gerade.

MfG und nochmals vielen Dank!
Mike

Malwarebytes Anti-Rootkit 1.1.0.1009
Malwarebytes : Free Anti-Malware download

Database version: v2012.11.21.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: *** [administrator]

21.11.2012 10:57:05
mbar-log-2012-11-21 (10-57-05).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: PUP | PUM | P2P
Objects scanned: 27615
Time elapsed: 27 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\WINDOWS\Installer\{d2c7f4a4-b72e-ca4e-bc43-c30b0d3e9fe5}\U (Backdoor.0Access) -> Delete on reboot. [e79a8a2f1a43112580024fb147b9fe02]

Files Detected: 1
C:\WINDOWS\Installer\{d2c7f4a4-b72e-ca4e-bc43-c30b0d3e9fe5}\@ (Backdoor.0Access) -> Delete on reboot. [68197643253882b43624e917d52b4fb1]

(end)

Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:

• Windows XP (nur 32-bit)
• Windows Vista (32-bit/64-bit)
• Windows 7 (32-bit/64-bit)

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte fragen.

• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

• Starte die Combofix.exe mit Rechtsklick => Als Administrator ausführen und folge den Anweisungen.
• Während des Laufs von Combofix nichts anderes am Computer machen!
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".

• Sollte Combofix eine aktuellere Version anbieten, Downlaod erlauben.
• Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.
• Es erscheint eine blaue Eingabeaufforderung, Combofix wird für den Suchlauf vorbereitet.
• Bitte nicht in dieses Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es wird ein Backup Deiner Registry erstellt.
• Nun werden die einzelnen Stufen des Programms abgearbeitet, das kann eine Weile dauern.

• Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
• Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
• Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

• Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
• Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.