Hallo, hatte heute nach Besuch einer Internet Seite, dieses bekannte PopUp Trojaner Problem. Rechner gesperrt, Webcam Bild, PaysafeCard, UKash...Der Rechner lässt sich im normalen Modus nicht mehr nutzen, da das PopUp ihn gleich nach Windowsstart blockiert. Keine Reaktion mehr auf Eingaben. Bin über den abgesicherten Modus reingegangen, Internet gestartet, eure Seite gefunden, viel gelesen...Ich habe zwar einen Post gefunden der sich ebenfalls mit dem "Trojan.FakeMS" befasst, aber wie ich es verstanden habe sind die Lösungswege individuell (spezielle Scripte etc.), deshalb habe ich dieses Thema eröffnet. Jedenfalls hab ich erstmal vollständig mit AntiMalware gescannt wie hier empfohlen und hier ist der Log File: Es ist der ERSTE Scan mit dieser Software gewesen..es existieren keine weiteren LOG Files, vorher besass ich nur Avira Free Antivirus, welches beim Suchlauf nach Infektion keine Funde machte.

PS: Sorry, falls ich im falschen Sub-Forum sein sollte, war da nicht ganz sicher.
PPS: Ich starte und nutze den Rechner mitlerweile wieder im normalen Modus..alles scheint zu funktionieren wie gewohnt. Irgendwas meckert, das eine dll fehlt "konnte Modul so und so" nicht starten. Das könnte aber daran liegen, dass ich versucht hatte einige Autostarteinträge in der msconfig zu deaktivieren.
PPPS: Die dll scheint doch etwas mit dem Trojaner zu tun zu haben..sie heisst ja wie er!! ^^ Also wie gesagt..nach verschieben des Trojaners in Quarantäne mit AntiMalware, kommt beim Windowsstart (normal) der Hinweis auf die fehlende Trojaner dll.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.29.11

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Administrator :: GASTRO [Administrator]

30.11.2012 01:35:10
mbam-log-2012-11-30 (01-35-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 267022
Laufzeit: 13 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Kurbel13\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Kurbel13\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JAALXNM\myfile[1].dll (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Mach bitte einen CustomScan mit OTL . Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread