Fixen mit OTLpe

• Starte den infizierten Rechner mit der OTLpe-CD und öffne OTLpe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - HKU\DetlefRita_ON_C Winlogon: Shell - (C:\Users\DetlefRita\AppData\Roaming\skype.dat) - C:\Users\DetlefRita\AppData\Roaming\skype.dat ()
:Files
C:\ProgramData\*.js
C:\ProgramData\*.reg
C:\ProgramData\*.bat
C:\ProgramData\*.pad
C:\ProgramData\*.exe
C:\Users\DetlefRita\AppData\Roaming\blckdom.res
C:\Users\DetlefRita\AppData\Roaming\skype.ini
C:\Users\DetlefRita\AppData\Roaming\14001.0??
C:\Users\DetlefRita\AppData\Roaming\Hyzue
C:\Users\DetlefRita\AppData\Roaming\Icpeic
C:\Users\DetlefRita\AppData\Roaming\kock
C:\Users\DetlefRita\AppData\Roaming\Meqe
C:\Users\DetlefRita\AppData\Roaming\Onito
C:\Users\DetlefRita\AppData\Roaming\searchqutb
C:\Users\DetlefRita\AppData\Roaming\UAs
C:\Users\DetlefRita\AppData\Roaming\Umbezi
C:\Users\DetlefRita\AppData\Roaming\Uvxe
C:\Users\DetlefRita\AppData\Roaming\xmldm
C:\ProgramData\8C5A560247F6596100008C59C9B16245
         

• Klicke jetzt auf den Fix Button.
• Starte danach neu und versuche wieder in den normalen Modus von Windows zu booten.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\OTL\MovedFiles\<time_date.log>)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Er geht wieder Cosinus sei dank :-)

========== OTL ==========
Registry value HKEY_USERS\DetlefRita_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DetlefRita\AppData\Roaming\skype.dat deleted successfully.
C:\Users\DetlefRita\AppData\Roaming\skype.dat moved successfully.
========== FILES ==========
C:\ProgramData\eotvol.js moved successfully.
C:\ProgramData\eotvol.reg moved successfully.
C:\ProgramData\oaaoc.reg moved successfully.
C:\ProgramData\eotvol.bat moved successfully.
C:\ProgramData\oaaoc.bat moved successfully.
C:\ProgramData\eotvol.pad moved successfully.
C:\ProgramData\mjlair.pad moved successfully.
C:\ProgramData\oaaoc.pad moved successfully.
File\Folder C:\ProgramData\*.exe not found.
C:\Users\DetlefRita\AppData\Roaming\blckdom.res moved successfully.
C:\Users\DetlefRita\AppData\Roaming\skype.ini moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.018\components folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.018 folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.019\components folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\14001.019 folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Hyzue folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Icpeic folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\kock folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Meqe folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Onito folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\widgets_cache folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\weather folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb\games folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\searchqutb folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\UAs folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Umbezi folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\Uvxe folder moved successfully.
C:\Users\DetlefRita\AppData\Roaming\xmldm folder moved successfully.
C:\ProgramData\8C5A560247F6596100008C59C9B16245 folder moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 07032013_165213

Rootkitscan mit GMER

Bitte lade dir GMER herunter: (Dateiname zufällig)

• Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
• Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei: IAT/EAT und Show All
• Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
• Starte den Scan mit "Scan".
• Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

• Probiere alternativ den abgesicherten Modus.
• Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Malwarebytes Anti-Malware 1.75.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16618
DetlefRita :: DETLEFRITA-PC [Administrator]

03.07.2013 18:37:39
mbam-log-2013-07-03 (18-37-39).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236441
Laufzeit: 4 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Zitat:

Datenbank Version: v2013.04.04.07

DB war nicht aktuell. Scan mit aktueller DB wiederholen. Außerdem fehlt GMER