BKA-Trojaner. Muss dringend bestimmte Datei retten.

Mari · 27.05.2011, 19:18

Hallo

Ich habe mir gestern auf meinem Medion-Netbook (ohne CD-Laufwerk; läuft mit win7) diesen Bundespolizei-Trojaner eingefangen. Dadurch kann ich absolut nichts mehr mit dem Netbook machen. Ich habe einen Bekannten, der jemanden kennt, der für mich früher bei nem anderen Laptop schon mal alles plattgemacht und neu aufgesetzt hat. Der könnte sich jedoch frühestens Dienstag darum kümmern. Ich brauche bis spätestens Montag aber ganz dringend eine Datei, die auf dem Netbook ist.

Ich habe ein älteres xp-Laptop zur Verfügung. Kann ich irgendetwas tun, um die Datei am besten sobald wie möglich in meine Hände zu bringen? Um den Rest kümmert sich ja der Bekannte (ich bin in sowas nämlich arg unerfahren).
Ich hoffe, ihr könnt mir helfen, danke euch aber auf jeden Fall schon mal sehr für jeden Versuch.

markusg · 28.05.2011, 12:08

hi,
1. das rücksetzen mit diesem medion geräten ist leicht, dass kannst du sicher auch selbst.
aber müssen wir warscheinlich nicht.
2.
Erstellen wir einen bootbaren USB Stick für OTLPE

Wichtig:
Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht
mehr vorhanden sein.

Downloade dir OTLPEstd.exe und speichere die Datei auf dem Desktop.
Solltest
Du kein 7-zip oder Winrar auf deinem System haben, lade dir 7-zip herunter und installiere
es.
Nach der Installation von 7-zip, extrahiere OTLPEstd mit einem Rechtsklick auf OTLPE.iso und wähle Entpacken nach "OTLPEstd\".

Nun öffne bitte den Ordner OTLPEStd und mache einen Rechtklick auf die OTLPE_New_Std.iso und wähle in 7zip Dateien entpacken

Entpacke die Dateien in einen Ordner ( OTLPE ) auf dem Desktop. Nehme bitte ebenfalls die Einstellung wie im Bild vor.

Downloade dir eeepcfr.zip und entpacke die Datei nach Systemroot (meistens
C:\).

Leere den USB Stick auf den Du OTLPE erstellen willst.
Navigiere nach C:\eeecpfr und starte usb_prep8.cmd.
Drücke
im DOS Fenster eine beliebige Taste.
Gehe nun sicher das der richtige Laufwerksbuchstabe deines USB Sticks ganz oben steht.
Für Drive Label: gib ein OTLPE.
Unter Source Path to built BartPE/WinPE Files klicke ... und wähle den vorher erstellten OTLPE Ordner .
Setze ein Häckchen bei Enable File Copy.
Klicke Start, akzeptiere die Nutzungsbestimmungen.

Nun kannst Du mit dem USB Stick dein System starten!

Nun boote von mit der OTLPE USB Stick.
Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device
auswählen)

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt
wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s)
for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt
und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste
den Inhalt von C:\OTL.Txt und Extras.Txt.

Mari · 28.05.2011, 17:53

Hey

Vielen, vielen Dank erstmal!!!

Ich bin jetzt an diesem Punkt angelangt
"Mache einen Doppelklick auf das OTLPE Icon"
Wenn ich das tu, erscheint ein "Browse for Folder"-Fenster. Was soll ich da auswählen? Bei "My Computer" erscheint die Fehlermeldung: "No windows installations found" bei allen anderen "Target is not windows2000 or later". Was habe ich falsch gemacht?

Bei eeepcfr war ich mir nicht sicher, wohin ich das extrahieren soll. Kann es daran liegen? Aber alles andere hat eig. geklappt... Hm.

Edit:
Wenn ich "Local Disk (C: )" wähle, erscheinen nur "Boot" und "System Volume Information", kein "Windows"...

Liebe Grüße

markusg · 28.05.2011, 18:15

navigiere mal in das verzeichniss computer c: dort windows anklicken und los gehts.

Mari · 28.05.2011, 18:19

Hey

Danke für die schnelle Antwort.
Also, unter "My Computer" gibt es
RAMDisk(B: )
Local Disk (C: )
Boot (D: )
Recover (E: )
OTLPE (X: )
Shared Documents

Wenn ich jetzt "Local Disk (C: ) anklicke, erscheinen dort nur "Boot" und "System Volume Information", kein Windows...?

markusg · 28.05.2011, 18:30

vllt auf nem andern laufwerk? recovery eher nicht.

Mari · 28.05.2011, 19:05

Danke, das hat geklappt. Bei Boot (D: ) wars.

Aber nach dem Scan wurde nur OTL.txt ausgespuckt. Hab nach dem anderen suchen lassen, aber es scheint nicht erstellt worden zu sein.OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 5/28/2011 10:51:48 PM - Run 
OTLPE by OldTimer - Version 3.1.46.0     Folder = X:\Programs\OTLPE
Windows 7 Starter  (Version = 6.1.7600) - Type = System
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,014.00 Mb Total Physical Memory | 815.00 Mb Available Physical Memory | 80.00% Memory free
902.00 Mb Paging File | 838.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\Windows | %ProgramFiles% = D:\Program Files
Drive C: | 100.00 Mb Total Space | 75.87 Mb Free Space | 75.87% Space Free | Partition Type: NTFS
Drive D: | 201.78 Gb Total Space | 169.03 Gb Free Space | 83.77% Space Free | Partition Type: NTFS
Drive E: | 30.00 Gb Total Space | 21.81 Gb Free Space | 72.69% Space Free | Partition Type: NTFS
Drive X: | 3.91 Gb Total Space | 3.51 Gb Free Space | 89.74% Space Free | Partition Type: FAT
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/01/21 08:50:59 | 000,357,504 | ---- | M] (BullGuard Ltd.) [Auto] -- D:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe -- (BsUpdate)
SRV - [2010/10/16 04:50:47 | 000,305,032 | ---- | M] (BullGuard Ltd.) [On_Demand] -- D:\Program Files\BullGuard Ltd\BullGuard\BullGuardScanner.exe -- (BsScanner)
SRV - [2010/10/16 04:05:51 | 000,175,496 | ---- | M] (BullGuard Ltd.) [Auto] -- D:\Program Files\BullGuard Ltd\BullGuard\BsMailProxy\BsMailProxy.dll -- (BsMailProxy)
SRV - [2010/08/19 06:49:46 | 000,122,760 | ---- | M] (BullGuard Ltd.) [On_Demand] -- D:\Program Files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe -- (BgRaSvc)
SRV - [2010/08/19 06:49:40 | 000,270,728 | ---- | M] (BullGuard Ltd.) [Auto] -- D:\Program Files\BullGuard Ltd\BullGuard\BsFileScan.dll -- (BsFileScan)
SRV - [2010/08/19 06:49:40 | 000,169,864 | ---- | M] (BullGuard Ltd.) [Auto] -- D:\Program Files\BullGuard Ltd\BullGuard\BsMain.dll -- (BsMain)
SRV - [2010/08/19 06:49:38 | 000,058,248 | ---- | M] (BullGuard Ltd.) [Auto] -- D:\Program Files\BullGuard Ltd\BullGuard\BsBrowser.dll -- (BsBrowser)
SRV - [2010/01/15 08:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand] -- D:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2009/10/02 11:48:26 | 000,595,232 | ---- | M] (Broadcom Corporation.) [Auto] -- D:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- D:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007/07/24 05:15:14 | 000,185,632 | ---- | M] (Protexis Inc.) [Auto] -- D:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe -- (PSI_SVC_2)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010/07/08 09:59:54 | 000,056,400 | ---- | M] (BullGuard Ltd.) [File_System | System] -- D:\Windows\System32\drivers\BdSpy.sys -- (BdSpy)
DRV - [2010/03/02 07:24:58 | 001,006,624 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- D:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se)
DRV - [2009/11/13 12:47:48 | 000,058,368 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\L1C62x86.sys -- (L1C)
DRV - [2009/11/10 08:42:46 | 000,042,496 | ---- | M] (Sentelic Corporation) [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\fspad_wlh32.sys -- (fspad_wlh32)
DRV - [2009/07/13 19:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2009/07/13 19:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- D:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2009/07/01 07:46:20 | 000,043,944 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand] -- D:\Windows\System32\drivers\btusbflt.sys -- (btusbflt)
DRV - [2009/06/09 15:30:42 | 000,016,456 | ---- | M] () [Kernel | On_Demand] -- D:\Windows\system32\DRIVERS\ATKACPI.SYS -- (ACPIService)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Lari_ON_D\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
IE - HKU\Lari_ON_D\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
IE - HKU\Lari_ON_D\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: antiphishing@bullguard:1.0
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6778
FF - prefs.js..extensions.enabledItems: foxyproxy@eric.h.jung:2.22.5
 
FF - HKLM\software\mozilla\Firefox\Extensions\\antiphishing@bullguard: C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\FF\antiphishing@bullguard\ [2010/09/08 02:36:17 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.14\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/05/11 13:40:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.14\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/05/11 13:40:36 | 000,000,000 | ---D | M]
 
[2010/10/18 13:46:36 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Lari\AppData\Roaming\Mozilla\Extensions
[2011/05/26 03:18:40 | 000,000,000 | ---D | M] (No name found) -- D:\Users\Lari\AppData\Roaming\Mozilla\Firefox\Profiles\35phv1rh.default\extensions
[2011/04/07 07:33:31 | 000,000,000 | ---D | M] (FoxyProxy Standard) -- D:\Users\Lari\AppData\Roaming\Mozilla\Firefox\Profiles\35phv1rh.default\extensions\foxyproxy@eric.h.jung
[2010/11/05 13:16:23 | 000,000,000 | ---D | M] (No name found) -- D:\Program Files\Mozilla Firefox\extensions
[2010/11/05 13:16:27 | 000,000,000 | ---D | M] (Skype extension) -- D:\Program Files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
File not found (No name found) -- C:\PROGRAM FILES\BULLGUARD LTD\BULLGUARD\ANTIPHISHING\FF\ANTIPHISHING@BULLGUARD
File not found (No name found) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{AB2CE124-6272-4B12-94A9-7303C7397BD1}
File not found (No name found) -- C:\USERS\LARI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\35PHV1RH.DEFAULT\EXTENSIONS\FOXYPROXY@ERIC.H.JUNG
[2011/03/03 08:51:10 | 000,001,392 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011/03/03 08:51:10 | 000,002,344 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml
[2011/03/03 08:51:10 | 000,006,805 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011/03/03 08:51:10 | 000,001,178 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011/03/03 08:51:10 | 000,001,105 | ---- | M] () -- D:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - D:\Windows\System32\drivers\etc\hosts
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
O2 - BHO: (BGAntiphishingBHO Class) - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - D:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO.dll (BullGuard Ltd.)
O4 - HKLM..\Run: [BullGuard] D:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe (BullGuard Ltd.)
O4 - HKLM..\Run: [DivXUpdate] D:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [fspuip] D:\Program Files\FSP\FspUip.exe (Sentelic Corporation)
O4 - HKLM..\Run: [Hotkey] D:\Program Files\Pegatron\Hotkey\FastUserSwitching.exe ()
O4 - HKU\Lari_ON_D..\Run: [4W1W8B7A1IVJUZ4WRROJW] D:\Washer2.rar\Washer2.rar.exe (scz)
O4 - HKU\LocalService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_D..\RunOnce: [mctadmin] D:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: D:\Users\Lari\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Google Sidewiki... - D:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll (Google Inc.)
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} -  File not found
O9 - Extra Button: BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - D:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BgAntiphishingIE.dll (BullGuard Ltd.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - D:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - D:\Windows\System32\BGLsp.dll (BullGuard Ltd.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - D:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - D:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - D:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Lari_ON_D Winlogon: Shell - (C:\Users\Lari\AppData\Local\Temp\0.5879863869665356.exe) - D:\Users\Lari\AppData\Local\Temp\0.5879863869665356.exe (BitDefender)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/05/25 03:07:09 | 000,026,496 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\drivers\Diskdump.sys
[2011/05/16 17:16:15 | 000,000,000 | ---D | C] -- D:\Users\Lari\Desktop\Leander und Frederic
[2011/05/16 07:03:00 | 000,123,904 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\poqexec.exe
[2011/05/11 13:46:09 | 000,000,000 | ---D | C] -- D:\Users\Lari\AppData\Roaming\Apple Computer
[2011/05/11 13:46:09 | 000,000,000 | ---D | C] -- D:\Users\Lari\AppData\Local\Apple Computer
[2011/05/11 13:45:41 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2011/05/11 13:45:39 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- D:\Windows\System32\GEARAspi.dll
[2011/05/11 13:45:39 | 000,000,000 | ---D | C] -- D:\Windows\System32\DRVSTORE
[2011/05/11 13:43:06 | 000,000,000 | ---D | C] -- D:\Program Files\iPod
[2011/05/11 13:43:00 | 000,000,000 | ---D | C] -- D:\Program Files\iTunes
[2011/05/11 13:43:00 | 000,000,000 | ---D | C] -- D:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011/05/11 13:39:35 | 000,000,000 | ---D | C] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011/05/11 13:38:22 | 000,000,000 | ---D | C] -- D:\Program Files\QuickTime
[2011/05/11 13:37:48 | 000,000,000 | ---D | C] -- D:\ProgramData\Apple Computer
[2011/05/11 13:36:33 | 000,000,000 | ---D | C] -- D:\Users\Lari\AppData\Local\Apple
[2011/05/11 13:36:25 | 000,000,000 | ---D | C] -- D:\Program Files\Apple Software Update
[2011/05/11 13:34:19 | 000,000,000 | ---D | C] -- D:\Program Files\Bonjour
[2011/05/11 13:33:20 | 000,000,000 | ---D | C] -- D:\ProgramData\Apple
[2011/05/11 13:33:20 | 000,000,000 | ---D | C] -- D:\Program Files\Common Files\Apple
[2011/05/11 04:32:35 | 000,284,160 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\drivers\usbport.sys
[2011/05/11 04:32:31 | 000,005,888 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\drivers\usbd.sys
[2011/05/11 04:32:22 | 003,957,632 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\ntkrnlpa.exe
[2011/05/11 04:32:21 | 003,901,824 | ---- | C] (Microsoft Corporation) -- D:\Windows\System32\ntoskrnl.exe
 
========== Files - Modified Within 30 Days ==========
 
[2011/05/28 10:29:15 | 000,067,584 | --S- | M] () -- D:\Windows\bootstat.dat
[2011/05/28 10:28:23 | 000,001,094 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011/05/28 10:27:53 | 797,605,888 | -HS- | M] () -- D:\hiberfil.sys
[2011/05/27 17:19:15 | 000,001,098 | ---- | M] () -- D:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011/05/26 13:56:07 | 000,009,872 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011/05/26 13:56:07 | 000,009,872 | -H-- | M] () -- D:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011/05/26 13:32:35 | 000,059,466 | ---- | M] () -- D:\Users\Lari\Documents\Leander und Frederic.rtf
[2011/05/26 03:06:14 | 000,000,004 | ---- | M] () -- D:\ProgramData\WBLD.INI
[2011/05/24 02:22:34 | 000,654,166 | ---- | M] () -- D:\Windows\System32\perfh007.dat
[2011/05/24 02:22:34 | 000,616,008 | ---- | M] () -- D:\Windows\System32\perfh009.dat
[2011/05/24 02:22:34 | 000,130,006 | ---- | M] () -- D:\Windows\System32\perfc007.dat
[2011/05/24 02:22:34 | 000,106,388 | ---- | M] () -- D:\Windows\System32\perfc009.dat
[2011/05/22 18:32:34 | 000,030,546 | ---- | M] () -- D:\Users\Lari\Documents\INSPIRATION.rtf
[2011/05/22 09:16:48 | 000,017,433 | ---- | M] () -- D:\Users\Lari\Documents\Leander und Frederic - Inspi.rtf
[2011/05/21 18:01:18 | 000,028,588 | ---- | M] () -- D:\Users\Lari\Desktop\Leander und Frederic.rtf
[2011/05/21 10:22:32 | 000,012,247 | ---- | M] () -- D:\Users\Lari\Documents\allg_5_125x125.jpg
[2011/05/19 18:40:13 | 000,001,458 | ---- | M] () -- D:\Users\Lari\Documents\filme.rtf
[2011/05/16 16:58:56 | 000,027,771 | ---- | M] () -- D:\Users\Lari\Documents\The Pianist (Adrien Brody).jpg
[2011/05/16 16:58:48 | 000,051,410 | ---- | M] () -- D:\Users\Lari\Documents\adrien-brody2.jpg
[2011/05/16 07:30:37 | 000,010,722 | ---- | M] () -- D:\Users\Lari\Documents\Mietschulden.odt
[2011/05/16 07:29:07 | 000,011,675 | ---- | M] () -- D:\Users\Lari\Documents\Bürgschaft.odt
[2011/05/11 18:20:12 | 000,040,813 | ---- | M] () -- D:\Users\Lari\Documents\Bild140.jpg
[2011/05/11 13:45:42 | 000,001,757 | ---- | M] () -- D:\Users\Public\Desktop\iTunes.lnk
[2011/05/11 13:45:42 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2011/05/11 13:39:36 | 000,001,819 | ---- | M] () -- D:\Users\Public\Desktop\QuickTime Player.lnk
[2011/05/11 13:39:36 | 000,000,000 | ---D | M] -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011/05/11 13:36:29 | 000,002,519 | ---- | M] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2011/05/11 11:39:35 | 000,030,435 | ---- | M] () -- D:\Users\Lari\Documents\Jumpsuit.jpg
[2011/05/11 04:41:00 | 000,034,509 | ---- | M] () -- D:\Users\Lari\Documents\kleid.jpg
[2011/05/05 11:36:39 | 000,012,203 | ---- | M] () -- D:\Users\Lari\Documents\fing-unicorns.gif
[2011/04/30 18:28:24 | 000,206,579 | ---- | M] () -- D:\Users\Lari\Documents\paris.rtf
[2011/04/30 13:09:38 | 000,077,002 | ---- | M] () -- D:\Users\Lari\Documents\Hochzeitskuss.jpg
 
========== Files Created - No Company Name ==========
 
[2011/05/21 18:05:02 | 000,028,588 | ---- | C] () -- D:\Users\Lari\Desktop\Leander und Frederic.rtf
[2011/05/21 10:22:15 | 000,012,247 | ---- | C] () -- D:\Users\Lari\Documents\allg_5_125x125.jpg
[2011/05/20 08:31:41 | 000,059,466 | ---- | C] () -- D:\Users\Lari\Documents\Leander und Frederic.rtf
[2011/05/16 16:58:56 | 000,027,771 | ---- | C] () -- D:\Users\Lari\Documents\The Pianist (Adrien Brody).jpg
[2011/05/16 16:58:46 | 000,051,410 | ---- | C] () -- D:\Users\Lari\Documents\adrien-brody2.jpg
[2011/05/16 07:30:35 | 000,010,722 | ---- | C] () -- D:\Users\Lari\Documents\Mietschulden.odt
[2011/05/16 07:29:02 | 000,011,675 | ---- | C] () -- D:\Users\Lari\Documents\Bürgschaft.odt
[2011/05/11 18:20:03 | 000,040,813 | ---- | C] () -- D:\Users\Lari\Documents\Bild140.jpg
[2011/05/11 13:45:42 | 000,001,757 | ---- | C] () -- D:\Users\Public\Desktop\iTunes.lnk
[2011/05/11 13:39:36 | 000,001,819 | ---- | C] () -- D:\Users\Public\Desktop\QuickTime Player.lnk
[2011/05/11 13:36:29 | 000,002,519 | ---- | C] () -- D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2011/05/11 11:39:26 | 000,030,435 | ---- | C] () -- D:\Users\Lari\Documents\Jumpsuit.jpg
[2011/05/11 04:40:55 | 000,034,509 | ---- | C] () -- D:\Users\Lari\Documents\kleid.jpg
[2011/05/05 11:36:24 | 000,012,203 | ---- | C] () -- D:\Users\Lari\Documents\fing-unicorns.gif
[2011/04/30 13:09:26 | 000,077,002 | ---- | C] () -- D:\Users\Lari\Documents\Hochzeitskuss.jpg
[2010/12/01 09:21:45 | 000,000,952 | -HS- | C] () -- D:\ProgramData\KGyGaAvL.sys
[2010/11/05 13:21:43 | 000,000,056 | -H-- | C] () -- D:\ProgramData\ezsidmv.dat
[2010/10/14 15:06:13 | 000,000,004 | ---- | C] () -- D:\ProgramData\WBLD.INI
[2010/09/07 11:18:35 | 000,451,072 | ---- | C] () -- D:\Windows\System32\ISSRemoveSP.exe
[2010/09/07 10:56:52 | 000,016,456 | ---- | C] () -- D:\Windows\System32\drivers\ATKACPI.SYS
[2009/07/14 04:47:43 | 000,654,166 | ---- | C] () -- D:\Windows\System32\perfh007.dat
[2009/07/14 04:47:43 | 000,295,922 | ---- | C] () -- D:\Windows\System32\perfi007.dat
[2009/07/14 04:47:43 | 000,130,006 | ---- | C] () -- D:\Windows\System32\perfc007.dat
[2009/07/14 04:47:43 | 000,038,104 | ---- | C] () -- D:\Windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- D:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,293,112 | ---- | C] () -- D:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,616,008 | ---- | C] () -- D:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- D:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,106,388 | ---- | C] () -- D:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- D:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- D:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- D:\Windows\System32\dssec.dat
[2009/07/13 20:02:54 | 000,245,248 | ---- | C] () -- D:\Windows\System32\DShowRdpFilter.dll
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- D:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- D:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- D:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- D:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2010/10/14 12:16:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Application Data
[2011/02/09 04:59:20 | 000,000,000 | ---D | M] -- D:\ProgramData\BullGuard
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Documents
[2010/10/14 12:16:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Dokumente
[2010/10/14 12:16:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Favorites
[2010/11/10 07:11:15 | 000,000,000 | ---D | M] -- D:\ProgramData\Partner
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Start Menu
[2010/10/14 12:16:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Startmenü
[2010/09/08 02:45:33 | 000,000,000 | ---D | M] -- D:\ProgramData\Temp
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- D:\ProgramData\Templates
[2010/10/14 12:16:56 | 000,000,000 | -HSD | M] -- D:\ProgramData\Vorlagen
[2011/05/11 13:45:33 | 000,000,000 | ---D | M] -- D:\ProgramData\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011/03/14 04:55:01 | 000,032,640 | ---- | M] () -- D:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

markusg · 30.05.2011, 11:35

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

Code:

ATTFilter

:OTL
O20 - HKU\Lari_ON_D Winlogon: Shell - (C:\Users\Lari\AppData\Local\Temp\0.5879863869665356.exe) - D:\Users\Lari\AppData\Local\Temp\0.5879863869665356.exe
(BitDefender)
:Files
D:\Users\Lari\AppData\Local\Temp\0.5879863869665356.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
öffne computer , öffne D: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

28.05.2011, 18:30	#6
markusg /// Malware-holic	BKA-Trojaner. Muss dringend bestimmte Datei retten. vllt auf nem andern laufwerk? recovery eher nicht. __________________ --> BKA-Trojaner. Muss dringend bestimmte Datei retten.

BKA-Trojaner. Muss dringend bestimmte Datei retten.

Plagegeister aller Art und deren Bekämpfung: BKA-Trojaner. Muss dringend bestimmte Datei retten.