Trojaner-Board - Und noch einer: Mitteilung des bundeskriminalamtes

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Und noch einer: Mitteilung des bundeskriminalamtes - meine OTL.txt (https://www.trojaner-board.de/101098-noch-mitteilung-bundeskriminalamtes-otl-txt.html)

Und noch einer: Mitteilung des bundeskriminalamtes - meine OTL.txt

Hallo,
bin am Verzweifeln mit dieser Meldung.
Anbei ist meine OTL.txt. Bitte um Hilfe, wie ich das Fixen kann.
Vielen Dank und beste Grüße!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O20 - HKLM Winlogon: Shell - ([SET OF RANDOM CHARACTERS].exe) -  File not found

O20 - HKU\Richard_ON_C Winlogon: Shell - (C:\Users\Richard\AppData\Local\Temp\5ujpi7ed.exe) - C:\Users\Richard\AppData\Local\Temp\5ujpi7ed.exe (Eipunrwaso Ensmw)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006/09/18 17:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O33 - MountPoints2\{21f919cd-1cc9-11e0-ae2f-001e33f31d75}\Shell\AutoRun\command - "" = D:\Menu.exe

O33 - MountPoints2\{f599ae97-0a21-11df-bdbe-001e33f31d75}\Shell - "" = AutoRun

O33 - MountPoints2\{f599ae97-0a21-11df-bdbe-001e33f31d75}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

O33 - MountPoints2\G\Shell - "" = AutoRun

O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo nochmal,

ich habe den Fix durchgeführt. Jetzt erscheint diese Warnung auch nicht mehr. Leider startet der Computer die explorer.exe nicht, so dass der BIldschirm schwarz bleibt. Was kann ich da tun?

Über den Taskmanager die explorer.exe erstmal manuell starten.

okay, danke! Habe ich gemacht! Jetzt lasse ich mal den Virenscanner laufen!

Nicht so schnell. Lad bitte erst die Datei hoch!!

ok, datei ist hochgeladen

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

so, hier das ergebnis von malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7382

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19088

05.08.2011 16:18:03
mbam-log-2011-08-05 (16-18-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 374717
Laufzeit: 7 Stunde(n), 10 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier die otl.txt.

ich starte jetzt neu!

also nach dem neustart kam ein blauer bildschirm mit schwerwiegendem systemfehler oder so ähnlich.
nach dem booten in den abgesicherten modus ist das jetzt aber wieder okay.
dennoch führt windows keinerlei programm nach dem booten aus.

was kann ich da jetzt tun?

Zitat:

dennoch führt windows keinerlei programm nach dem booten aus.

Was meinst du damit? Wird der Desktop nicht richtig aufgebaut oder was anderes?

Windows wird gestartet, aber keine Anwendung wird gestartet. Der Bildschirm bleibt schwarz. Über den Task-Manager kann ich zwar z.B. den Explorer aufrufen und dadurch komme ich in Anwendungen rein, aber diese werden nicht wie üblich automatisch gestartet.

Wie bekomme ich den automatischen Start hin?

Geht OTL denn überhaupt noch, wenn andere Programm sich nicht starten lassen?
Und das letzte OTL-Log (das in der ZIP-Datei) ist unvollständig, ein großer Teil vom Anfang fehlt da.

den hatte ich gelöscht, um es den Upload-Größenrestriktionen eines .txt-Dokuments anzupassen. Da die Größe leider immer noch zu groß war, wählte ich den zip-File. leider konnte ich den Anfang nicht mehr zurückholen.

Das OTL lässt sich ja noch ausführen. Alle Programm lassen sich ausführen über den Task-Manager. Das Problem, welches besteht, ist, dass die Programme beim WIndows-Start nicht automatisch gestartet werden, so z.B. explorer.exe. Kein Programm wird automatisch gestartet.