Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2013.02.23 13:24:38 | 000,000,000 | ---D | C] -- C:\4297307fd8791c22c94fe1
[2013.02.22 18:07:58 | 000,000,000 | ---D | C] -- C:\Users\KAISER\AppData\Roaming\Reco
[2013.02.22 18:07:58 | 000,000,000 | ---D | C] -- C:\Users\KAISER\AppData\Roaming\Rayzi
:Files
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hallo cosinus,

Danke für die Antwort. Hier der Inhalt der Datei 03222013_124434.txt es ist dort auch noch eine Dateiablage vorhanden.

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\zh-tw folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\zh-hk folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\zh-cn folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\uk-ua folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\tr-tr folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\th-th folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\sv-se folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\sr-latn-cs folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\sl-si folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\sk-sk folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\ru-ru folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\ro-ro folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\pt-pt folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\pt-br folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\pl-pl folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\nl-nl folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\nb-no folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\lv-lv folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\lt-lt folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\ko-kr folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\ja-jp folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\it-it folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\hu-hu folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\hr-hr folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\he-il folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\fr-fr folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\fi-fi folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\et-ee folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\es-es folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\en-us folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\el-gr folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\de-de folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\da-dk folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\cs-cz folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\bg-bg folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6\ar-sa folder moved successfully.
C:\4297307fd8791c22c94fe1\407ea319efd6209da6 folder moved successfully.
C:\4297307fd8791c22c94fe1 folder moved successfully.
C:\Users\KAISER\AppData\Roaming\Reco folder moved successfully.
C:\Users\KAISER\AppData\Roaming\Rayzi folder moved successfully.
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\KAISER\Documents\Virusablage\OTL\cmd.bat deleted successfully.
C:\Users\KAISER\Documents\Virusablage\OTL\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Juergensoffener
->Temp folder emptied: 0 bytes
 
User: KAISER
->Temp folder emptied: 2421466 bytes
->Temporary Internet Files folder emptied: 8252259 bytes
->Java cache emptied: 12857734 bytes
->FireFox cache emptied: 84105028 bytes
->Flash cache emptied: 2905 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 878 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 103,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 03222013_124434

Files\Folders moved on Reboot...
C:\Users\KAISER\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Gruß
jf27

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo cosinus,
protection log:

Code: Alles auswählenAufklappen

ATTFilter

2013/03/22 16:40:37 +0100	KAICOM	KAISER	MESSAGE	Starting database refresh
2013/03/22 16:40:40 +0100	KAICOM	KAISER	MESSAGE	Database refreshed successfully
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.22.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
KAISER :: KAICOM [Administrator]

22.03.2013 16:41:04
mbam-log-2013-03-22 (16-41-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 214793
Laufzeit: 3 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Eset folgt.
Gruß
jf27

Oh... oh... ooohhhhh

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=6f8e4f98205c3941b0342c61c75c0af8
# engine=13457
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-22 04:48:30
# local_time=2013-03-22 05:48:30 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=5893 16776574 100 94 385301 115602101 0 0
# scanned=154243
# found=1
# cleaned=0
# scan_time=3030
sh=ED892B78DDD18A18FFD062618606A2F211C3909B ft=1 fh=51181afbe8007fd3 vn="a variant of Win32/Injector.ADFE trojan" ac=I fn="C:\Users\KAISER\AppData\Roaming\Szryiyi\!uvrorotywb!.xxe"
         

jetzt krieg ich richtig Angst.

Über die Systemsteuerung kann ich das Programm nicht entfernen, da die Buttons größtenteils nicht funktionieren.

Gruß
jf27

Fixen mit OTL

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:Files
C:\Users\KAISER\AppData\Roaming\Szryiyi
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
         

• Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
• Schließe bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Hallo,

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== FILES ==========
C:\Users\KAISER\AppData\Roaming\Szryiyi folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\KAISER\Documents\Virusablage\OTL\cmd.bat deleted successfully.
C:\Users\KAISER\Documents\Virusablage\OTL\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Juergensoffener
->Temp folder emptied: 0 bytes
 
User: KAISER
->Temp folder emptied: 882 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 11709334 bytes
->Flash cache emptied: 492 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 878 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 11,00 mb
 
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.69.0 log created on 03232013_172841

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

Hatte sich da noch was festgekrallt?

Danke
jf27

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo cosinus,

anbei der Scan

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.23.08

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
KAISER :: KAICOM [Administrator]

23.03.2013 20:01:07
mbam-log-2013-03-23 (20-01-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 215145
Laufzeit: 3 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=6f8e4f98205c3941b0342c61c75c0af8
# engine=13457
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-22 04:48:30
# local_time=2013-03-22 05:48:30 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=5893 16776574 100 94 385301 115602101 0 0
# scanned=154243
# found=1
# cleaned=0
# scan_time=3030
sh=ED892B78DDD18A18FFD062618606A2F211C3909B ft=1 fh=51181afbe8007fd3 vn="a variant of Win32/Injector.ADFE trojan" ac=I fn="C:\Users\KAISER\AppData\Roaming\Szryiyi\!uvrorotywb!.xxe"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=6f8e4f98205c3941b0342c61c75c0af8
# engine=13457
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-23 08:02:45
# local_time=2013-03-23 09:02:45 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=5893 16776574 100 94 483356 115700156 0 0
# scanned=154238
# found=1
# cleaned=0
# scan_time=3007
sh=ED892B78DDD18A18FFD062618606A2F211C3909B ft=1 fh=51181afbe8007fd3 vn="a variant of Win32/Injector.ADFE trojan" ac=I fn="C:\_OTL\MovedFiles\03232013_172841\C_Users\KAISER\AppData\Roaming\Szryiyi\!uvrorotywb!.xxe"
         

Gruß
jf27

Sieht soweit ok aus, der letzte Fund bezieht sich nur auf die Quarantäne von OTL

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Vielen Dank für Deine Hilfe,

ich kann immer noch nicht das Wartungszentrum in der Systemsteuerung öffnen,
und ich habe folgende Fehleranzeige um an die Festplattenpartitionen zu kommen.




Das müsste mit der Win- Reparatur zu machen sein (Original-Diskette) oder gibts eine bessere Lösung?

Mit der Dateiwiederherstellung werde ich mich mal in dem entsprechenden Threat melden; mit der Frage, wie weit die Personen dort mit dem von Dir im Thread empfohlenen Programm sind. Oder hast Du eine Empfehlung für ein Programm das das Bild rekursiv von hinten her aufrollt. (Die dort vorhandenen Programme funktionieren -wie Du schon sagtest- nicht, auch nicht jpgrecovery.

Dir auf jeden Fall besten Dank für die Hilfe und Geduld.
Macht es einen Sinn eine Anzeige zu starten?
Sind da irgendwelche Passwörter (z.B. Bank) gehijekt worden?

jf27

Hm, lad dir mal bitte diese Date runter => File-Upload.net - diskmgmt.msc

Und kopiere sie nach c:\windows\system32

Probier dann nochnmal die Datenträgerverwaltung zu öffnen

Hallo cosinus,
Danke für den Link und den Hinweis.
leider lässt mich die Steuerung nicht die "alte Datei" löschen.
Nach der Abfrage nach Adminrechten kommt dieserBildschirm.


Außerdem sind hier ein paar Dateien (MP2 etc.) in der SYSTEM32 die ich nicht verstehe und die während oder nach der Infektion entstanden sind.




(Erstellungsdatum von diskmgmt ist nach Änderungsdatum )



jetzt hat mich das wieder ganz .....

Gruß
jf

Hm, hast du meine Datei da jetzt reinkopiert?
Musstest du die Datei überschreiben oder war keine diskmgmt.msc mehr in system32?

Zitat:

Hm, hast du meine Datei da jetzt reinkopiert?

das ist die Datei mit den () dahinter

Zitat:

Musstest du die Datei überschreiben oder war keine diskmgmt.msc mehr in system32?

die diskmgmt war in der system32 vorhanden.
das dritte Bild sind die Eigenschaften der vorhandenen Datei.

Gruß
jf27

Zitat:

das ist die Datei mit den () dahinter

Hm. Benenn die bitte mal um in "irgendwas"
Meine Datei muss diskmgmt.msc heißen