Hallo zusammen,

ein Bekannter hat sich den guv-Trojaner eingefangen. Abgesicherter Modus (WIN XP Home) funktioniert nicht, deshalb habe ich den Weg mit der Boot-CD genommen.
Ich bitte Euch um die Auswertung der otl.txt und um Hilfe bei der weiteren Vorgehensweise.
Sind noch weitere Informationen außer der otl.txt erforderlich?

Danke und viele Grüße

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Fix mit OTLpe

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte den infizierten Rechner mit der OTLpe-CD und starte OTLpe.
• Falls du keine Internetverbindung hast:
  1. Drücke Windows-Taste + R > notepad (reinschreiben) > OK
  2. Kopiere das Fixskript in den Editor und speichere die Datei als Fix.txt
  3. Kopiere dir die Fix.txt auf einen USB-Stick.
  4. Schliesse den Stick an den infizierten Rechner an und kopiere dir die Datei auf den Desktop.
• Füge das Skript in das Feld Custom Scans / Fixes ein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013/02/11 18:29:32 | 000,002,865 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.js
[2013/02/11 18:29:27 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.pad
[2012/06/29 14:52:51 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad
[2013/02/14 13:19:28 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.pad
:files
C:\Dokumente und Einstellungen\Ralph Neubauer\2830776.dll
         

• Schliesse bitte nun alle anderen Programme.
• Klicke nun bitte auf den Fix Button.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. (Auch zu finden unter C:\OTLpe\MovedFiles\<datum_nummer.log>)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTLpe scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Fragen:

• Kannst du jetzt wieder in den normalen Modus booten?

Hallo,

erstmal danke für die schnelle Antwort.
Rechner bootet nun wieder im normalen Modus. Es kommt aber eine Fehlermeldung (RUNDLL):
Fehler beim Laden von C:\Dokumente ....\***\2830776.dll. Das angegebene Modul wurde nicht gefunden.
Auf dem Desktop ist auch keine Textdatei. Aber ich habe sie glaube ich auch so.
Sorry, das mit den Codetags, weiß ich nicht, ob ich das richtig verstanden habe.
Ich probiers jetzt halt mal so. Musst mir halt sagen, wenn es falsch war.
#
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.js moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\6770382.pad not found.
========== FILES ==========
C:\Dokumente und Einstellungen\Ralph Neubauer\2830776.dll moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 02142013_202058
#
Danke.
Viele Grüße
Ute

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Dann bitte weiter:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ich habe mit dem PC keine Netzwerkverbindung. Wenn ich versuche diese einzurichten hängt sich der Rechner auf. Was tun?

Hm das ist natürlich nicht so schön ...

Dann musst du bis dahin bitte die Programme von einem Rechner mit Internet per USB-Stick zu übertragen. Und wir untersuchen das Problem gleich mit.

Also bitte Combofix und zwar so starten:

Gehe auf die Mircosoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12

Wähle den Download, der für dein Betriebssystem bestimmt ist:
Hinweis: Für WinXP Sp3 wähle die Sp2 Version.



Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab.



Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.

• Ziehe die Setupdatei auf ComboFix.exe und lasse es los.
• Folge den Aufforderungen um ComboFix zu starten und wenn Du dazu aufgefordert wirst, stimme den Nutzungsbedingungen zu um die Wiederherstellungskonsole zu installieren.
• Bei der nächsten Eingabeaufforderung, klicke auf "Yes" um den vollständigen Suchlauf von ComboFix zu starten.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Also ich blicke jetzt gar nicht mehr durch. Erst "verschwindet" die Netzwerkkarte, auch das Symbol, das neben der Uhr angezeigt wird. Auch im abgesicherten Modus.
Dann musste ich den Treiber neu installieren, um auf den Stick zugreifen zu können.
Den sehe ich zwar nun, aber ich kann nicht mehr kopieren und einfügen. Da passiert gar nichts.
Was ist da bloss los?
Danke.

Das kann bei der Art Infektion schon mal passieren.

Boote bitte abgesichert mit Eingabeaufforderung und gib ein:

regsvr32 wmisvc.dll (Enter)

Danach Neustart und berichte ob sich dann was ändert.

Nein, hat sich leider nichts verändert.

Das ist ja echt bäh.

Das heißt konkret, dass du derzeit also keine Dateien mit USB Stick auf den Rechner bringen kannst?

Wenn ja. Dann fertige bitte nochmal ein Logfile mit OTLpe an.

Ja.
Könnte ich versuchen die netzwerkkarte über die Eingabeaufforderung zu konfigurieren?
Also IP-Adresse und Gateway?

Bitte nochmal ein OTLpe Logfile, ich muss mir das nochmal anschauen was da ist.

Ok. Braucht aber noch kurz. Hoffentlich kann ich das dann auf den Stick kopieren ...

Das sollte dann eigentlich funktionieren. Melde mich dann morgen.

So, nun die Datei - im Anhang.
Ich habe nun auch gleich die Windows-Datei (Bootdisketten) nach c: kopiert und wenn ich den richtigen Pfad erwischt habe auch auf den Desktop. Vielleicht lässt sich dann hiermit was anfangen, oder?
Bis morgen. Ich bin aber erst gegen Abend zu erreichen. Schönen Abend noch und danke.
Lg Ute