Hallo, ich habe mir auf einem gut 10 Jahre alten Notebook mit Win XP Sp3 Ende Dezember einen GVU-Trojaner eingefangen. Ich konnte nach Lesen der Anleitungen http://www.trojaner-board.de/128668-gvu-trojaner.html und http://www.trojaner-board.de/128498-...ter-modus.html den Rechner wieder zum Laufen bringen.

Dabei habe ich in folgende Reihenfolge diese Maßnahmen durchgeführt:

1. Mehrmaliges Herunterfahren und wieder starten bis sich plötzlich das IE-Fenster mit der Zahlungsaufforderung nach dem Start schließen ließ
2. Installation von Antimalware, Aktualisieren der Datenbank, Vollständiger Scan, dabei 4 Funde (Liste unten)
3. Installation adwcleaner.exe und Scan (Liste unten)
4. Installation von OTL.exe und Scan (Liste unten)

In den Postings hieß es, dass man nach Veröffentlichen der Scanlisten eine Hilfe zum vollständigen Beseitigen des Trojaners bekommt. Augenscheinlich ist er weg (die Kiste läuft wieder). Muss ich noch was tun?
Danke schon vorab für die Hilfe!

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?


Schritt 1:
Lass MBAM laufen und alle Funde entfernen.


Schritt 2:
Temporäre Dateien löschen mit TFC

Bitte lade dir TFC auf deinen Desktop und starte es. Es wird automatisch alle temporären Dateien entfernen.

Schritt 3:
Scan mit Combofix

WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Danke für die schnelle Antwort.

Ich werde es probieren. Frage: Der Rechner hat ohnehin so ein paar Macken. Da habe ich mir überlegt Windows neu zu installieren. Des Rechners Festplatte hat 2 Partitionen. D für Daten und C für die Programm. Wenn ich die eine formatiere (C), wird dann auch die Registry gelöscht?

Wie muss ich Windows neu installieren? Mit der Ursprungs-CD und dann schrittweise alle Service-Packs drauf oder geht das auch schneller (mit einer Installation)?

Die Registrierung ist auf dem Systemlaufwerk und die wird platt gemacht beim formatieren von C:

Wenn du jetzt formatieren willst (was ich nicht für sinnvoll halte aber deine Entscheidung ist), dann brauchst du den Originaldatenträger oder du besorgst dir einen neuen in dem das letzte Servicepack schon integriert ist.

Dir muss aber klar sein, dass XP ohnehin deutlich angegraut ist und der Support durch Microsoft sehr bald (2014) ausläuft. Wenn du neu installieren willst, dann rate ich dir gleich auf Windows 7 umzusteigen, wenn das deine Hardware hergibt.

Danke für die schnelle Antwort. Win 7 geht nicht. Ich werde die Scans durchführen und die Logs posten. Sollte die Kiste dann wieder einwandfrei laufen, überleg ich mir Neuinstallieren. Danke erstmal.

Gut, dann die Logfiles.

Ich habe alles so gemacht, wie von dir beschrieben.

Vor dem Start meldet das Programm, dass Avira Antivir aktiv ist. Das Programm wurde aber seit langem deinstalliert und läuft garnicht mehr.

Ich habe trotzdem auf WEITER geklickt. (Scan auf eigenes Risiko)

Das DOS-Fenster des Programms geht nicht weiter.

Was soll ich tun? So kann ich kann keine Logfiles posten.

Du kannst die Combofix.exe in NoMBR.exe umbenennen und es nochmal zu probieren.

Auch nach Umbenennen gibt es weiterhin piep-piep und die Warnung, dass Avira aktiv ist (auch nicht sichtbar in den aktiven Prozessen).

Der Scan im DOS-Fenster meldet keinen Fortschritt.

Moment - es geht doch weiter.

Es ging weiter, bis Stufe 6, dann ist PC wegen eines gealterten Lüfters zu heiß geworden und abgestürzt. Wie gesagt eine sehr alte Kiste.

Ich mag jetzt nimmer und starte morgen Abend einen neuen Versuch.

Hoffe, das kann man öfter machen, ohne dass die Kiste Schaden nimmt.

So, es ist vollbracht. Combofix ist fertig und folgende Textdatei produziert:

Code: Alles auswählenAufklappen

ATTFilter

Combofix Logfile:

	
Code: 

Alles auswählenAufklappen 
ATTFilter

  
	
ComboFix 13-01-05.01 - Besitzer 07.01.2013  19:21:03.2.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.750.489 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.pad
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AdobeDLM.log
C:\Thumbs.db
c:\windows\_detmp.2
c:\windows\IsUn0407.exe
c:\windows\My.ini
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\WindowsUpdate.log . . . . Nicht in der Lage zu löschen
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-07 bis 2013-01-07  ))))))))))))))))))))))))))))))
.
.
2013-01-07 18:13 . 2013-01-07 18:13	--------	d-----w-	C:\FOUND.013
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-01-05 15:14 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-01-02 14:39 . 2013-01-02 14:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-01-02 13:48 . 2013-01-02 13:48	--------	d-----w-	C:\FOUND.012
2013-01-02 13:37 . 2013-01-04 11:28	3178	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 06:10 . 2012-07-04 09:24	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-12 06:10 . 2012-07-04 09:24	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2010-09-08 18:28 . 2013-01-02 08:41	119808	----a-w-	c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
2013-01-02 08:42 . 2013-01-02 08:41	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-09 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-04-24 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-04-24 610304]
"LaunchAp"="c:\progra~1\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"PowerKey"="c:\progra~1\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\progra~1\Launch Manager\HotkeyApp.exe" [2003-05-19 45056]
"CtrlVol"="c:\progra~1\Launch Manager\CtrlVol.exe" [2003-05-12 167936]
"Wbutton"="c:\progra~1\Launch Manager\Wbutton.exe" [2003-05-28 53248]
"AcerNotebookManager"="c:\programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2002-11-25 172032]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-10-18 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-22 155648]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-13 185896]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-08 30192]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 738944]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2003-9-27 49254]
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\3.0.285\SSScheduler.exe [2012-9-5 271808]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 1.1.0.lnk]
path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 1.1.0.lnk
backup=c:\windows\pss\OpenOffice.org 1.1.0.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48	32881	----a-w-	c:\programme\Java\j2re1.4.2_03\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2006-12-13 13:11	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\fxsclnt.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [03.03.2005 17:15 78848]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [19.06.2003 04:44 6570]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [03.11.2011 15:44 27016]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [03.11.2011 15:44 497280]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [20.02.2012 08:56 312784]
R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [20.02.2012 08:56 125200]
R3 POWERKEY;POWERKEY;c:\progra~1\Launch Manager\POWERKEY.sys [19.06.2003 04:38 2343]
S1 mailKmd;mailKmd; [x]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [20.02.2012 08:56 103424]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.09.2007 15:06 264704]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [20.11.2008 20:31 30192]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\3.0.285\McCHSvc.exe [05.09.2012 16:56 234776]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-04 06:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\
FF - ExtSQL: 2012-12-03 17:18; {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}; c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
FF - ExtSQL: 2012-12-03 17:19; {FFB96CC1-7EB3-449D-B827-DB661701C6BB}; c:\programme\CheckPoint\ZAForceField\TrustChecker
FF - ExtSQL: !HIDDEN! 2009-09-02 15:31; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-ZoneAlarm - c:\programme\CheckPoint\ZoneAlarm\zatray.exe
MSConfigStartUp-Mozilla Quick Launch - c:\programme\Netscape\Netscape\Netscp.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe Illustrator 9.0 - c:\windows\ISUN0407.EXE
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-07 19:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(376)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'lsass.exe'(432)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
- - - - - - - > 'explorer.exe'(2068)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\AGRSMMSG.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-07  19:46:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-07 18:46
.
Vor Suchlauf: 16 Verzeichnis(se), 14*015*873*024 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 13*972*553*728 Bytes frei
.
- - End Of File - - 209AB27D3C7FC08DD47EA5D218805852
         
 
--- --- ---
         

Gut gemacht, man muss eben auch leider geduldig sein

Dann


Schritt 1:
Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• Windows Vista / 7: Start > Systemsteuerung > Programme und Funktionen > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Deinstalliere - falls du es nicht absichtlich installiert hast - alles was den Zusatz "Toolbar" enthält.

Gehe bitte die folgende Liste durch und deinstalliere die genannten Programme, falls vorhanden:
CCleaner oder andere Registry-Cleaner, TuneUp Utilities (inkl. Language Pack), Spybot S & D (inklusive Teatimer), Zonealarm Firewall, McAfee Security Scan, Spyware Hunter, Spyware Terminator, Java 6 (alle), Pokersoftware, xp-Antispy

Taucht noch Openoffice 1 oder 2 auf? Dann auch weg damit du hast schon eine Version 3.

Schritt 2:
Nochmal mit Combofix scannen.

Nochmals erledigt. Hier der 2te Scan:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-01-05.01 - Besitzer 07.01.2013  22:51:46.3.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.750.399 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\WindowsUpdate.log . . . . Nicht in der Lage zu löschen
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-07 bis 2013-01-07  ))))))))))))))))))))))))))))))
.
.
2013-01-07 18:13 . 2013-01-07 18:13	--------	d-----w-	C:\FOUND.013
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-01-05 15:14 . 2013-01-05 15:14	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-01-05 15:14 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-01-02 14:39 . 2013-01-02 14:40	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-01-02 13:48 . 2013-01-02 13:48	--------	d-----w-	C:\FOUND.012
2013-01-02 13:37 . 2013-01-04 11:28	3178	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 06:10 . 2012-07-04 09:24	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-12 06:10 . 2012-07-04 09:24	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-01-02 08:42 . 2013-01-02 08:41	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="LaunApp" [X]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-04-24 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-04-24 610304]
"LaunchAp"="c:\progra~1\Launch Manager\LaunchAp.exe" [2003-05-12 32768]
"PowerKey"="c:\progra~1\Launch Manager\PowerKey.exe" [2002-08-30 94208]
"LManager"="c:\progra~1\Launch Manager\HotkeyApp.exe" [2003-05-19 45056]
"CtrlVol"="c:\progra~1\Launch Manager\CtrlVol.exe" [2003-05-12 167936]
"Wbutton"="c:\progra~1\Launch Manager\Wbutton.exe" [2003-05-28 53248]
"AcerNotebookManager"="c:\programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 509952]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 88107]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2002-11-25 172032]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-10-18 278528]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-12-22 155648]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-13 185896]
"starter4g"="c:\windows\starter4g.exe" [2009-09-17 157968]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [N/A]
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2003-9-27 49254]
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-9-27 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Image Transfer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Image Transfer.lnk
backup=c:\windows\pss\Image Transfer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^OpenOffice.org 1.1.0.lnk]
path=c:\dokumente und einstellungen\Besitzer\Startmenü\Programme\Autostart\OpenOffice.org 1.1.0.lnk
backup=c:\windows\pss\OpenOffice.org 1.1.0.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48	32881	----a-w-	c:\programme\Java\j2re1.4.2_03\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2006-12-13 13:11	185896	----a-w-	c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"mnmsrvc"=3 (0x3)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\System32\\fxsclnt.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [03.03.2005 17:15 78848]
R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [19.06.2003 04:44 6570]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [20.02.2012 08:56 312784]
R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [20.02.2012 08:56 125200]
R3 POWERKEY;POWERKEY;c:\progra~1\Launch Manager\POWERKEY.sys [19.06.2003 04:38 2343]
S1 mailKmd;mailKmd; [x]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [20.02.2012 08:56 103424]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.09.2007 15:06 264704]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-30 11:00]
.
2013-01-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-04 06:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\
FF - ExtSQL: 2012-12-03 17:18; {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}; c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\tt1an21g.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
FF - ExtSQL: 2012-12-03 17:19; {FFB96CC1-7EB3-449D-B827-DB661701C6BB}; c:\programme\CheckPoint\ZAForceField\TrustChecker
FF - ExtSQL: !HIDDEN! 2009-09-02 15:31; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-07 23:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\AGRSMMSG.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-07  23:12:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-07 22:12
ComboFix2.txt  2013-01-07 18:46
.
Vor Suchlauf: 30 Verzeichnis(se), 13*968*424*960 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 13*973*848*064 Bytes frei
.
- - End Of File - - 669DBE4AA59F9E28779F88C64D7C00AB
         

Ist noch was zu tun?

Vor allem, wie kann ich die Avira-Meldung wegbekommen, wo doch nicht mehr installiert?

D.h. du hast derzeit gar keinen Virenschutz installiert?

Das ist nicht nötig. Rechner vom Netz. Werde erst wieder versuchen, was zu installieren, wenn er sauber ist.

Ist das jetzt der Fall?

Nein wir entfernen erst die Überreste:


Schritt 1:
OpenOffice 2 entfernen


Schritt 2:
Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  File::
  c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.js
  
  SecCenter::
  AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
  AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
  AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
  AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {806ED0B3-FFA4-00FC-0D24-347CA8A3377C}
  
  ClearJavaCache::
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 3:
Installiere Avast.

Lade dir den Scanner und installiere ihn nach dieser Anleitung.

Ich kann Openoffice nicht entfernen, da der Installer beschädigt zu sein scheint (siehe Screenshot).

Was tun?