Trojaner-Board - AKM-Virus hat noch ein Opfer...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - AKM-Virus hat noch ein Opfer... (https://www.trojaner-board.de/115304-akm-virus-hat-noch-opfer.html)

AKM-Virus hat noch ein Opfer...

Auch ich bin Opfer dieses blöden AKM-Virus geworden. Habe dabei nicht einmal gemerkt, wie, wann, wodurch...etc..

Mein PC lässt sich bei keinem der zu Verfügung stehenden Sicherheits-Modi starten. Egal, ob ich mich als Administrator oder Benutzer mit meinem bisherigen Passwort anmelde - es erscheint ein weißer Bildschirm (dieser hat sich gegenüber der vorigen Woche, wo sich das AKM-Virus mit seiner 50.-€ Aufforderung gemeldet hatte, mittlerweile auch geändert), in dem in etwa steht: "Bitte warten Sie, bis die Verbindung hergestellt wird."

Nachdem ich hier beim trojaner-board.de etliche haargenau gleiche Fälle durchstudiert und letzendlich auch Eure anfänglichen Standard-Anweisungen ausgeführt habe (ich muss dazu gestehen, unter kalten Schweißausbrüchen und fast einem Herzinfarkt... da ich sowas von einem Computerbanause bin..) sende ich Euch die Datei "OTL.txt" und bitte Euch, mir die weiteren Schritte - möglichst Dummie-sicher - zu erklären, da ich momentan auch niemanden habe, der mir übers Telefon beistehen könnte!..

Vielen Dank im Voraus - Ihr seid echt spitze!

grammar

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O3 - HKU\ZekiBAKTIR_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\ZekiBAKTIR_ON_C\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.

O4 - HKLM..\Run: [VX5LWxsct4OYCCz] C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O4 - HKU\ZekiBAKTIR_ON_C..\Run: [VX5LWxsct4OYCCz] C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewOnDrive = 0

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoAutoUpdate = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF 03  [binary data]

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O7 - HKU\ZekiBAKTIR_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O20 - HKU\ZekiBAKTIR_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O20 - HKU\ZekiBAKTIR_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe) - C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe ()

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005/10/09 18:55:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2005/10/08 14:14:18 | 000,000,000 | ---- | M] () - E:\AUTOEXEC.BAT -- [ FAT32 ]

:Files

C:\Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Lieber cosinus !!!

Vielen, herzlichen Dank! Es scheint alles wieder zu funktionieren...

Ich habe die gewünschte _OTL.rar upgeloadet (ich hoffe, ich hab' alles richtig gemacht, mit dem Verpacken und dem Virenscannerausschalten und so...)

Bitte lass mich wissen, ob noch etwas zu tun ist.

Vielen Dank nochmal - Ihr seid einsame Klasse. Hätte nie gedacht, dass das so schnell gehen würde!

Liebe Grüße :dankeschoen:

grammar

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Vielen Dank für die ausführlichen Beschreibungen!

Ich werde die nötigen Schritte so bald wie möglich durchführen, doch diese Woche geht es sich bei mir nicht aus, da ich aus beruflichen Gründen ständig unterwegs und somit nicht bei meinem PC bin.

Ich melde mich ganz sicher in etwa einer Woche (nächstes Wochenende) wieder.

Bis dahin bitte ich um etwas Geduld und vielen herzlichen Dank nochmals für die rasche Hilfe Eurerseits!

Grammar

Hallo lieber Cosinus,

also, ich habe sämtliche Deiner Anleitungen befolgt. Die Scans mit Malwarebytes und ESET brachten neue Funde. Bei dem Eset-Scan ist mir jedoch ein kleines Missgeschick passiert. Ich habe leider vergessen, das Kästchen „Remove Found Threats“ zu deaktivieren, bin aber nach ca. 2 Minuten draufgekommen und habe den Scanvorgang gestoppt. (da waren aber bereits 2 Dateien als „infiziert“ erkannt). Die daraus resultierende Log-Datei habe ich später im Programmordner unter „Eset\Eset Online Scanner\log.txt“ gefunden und sie umbenannt in „Log1.txt“. Dann habe ich einen neuerlichen Scanprozess mit ESET gestartet, diesmal ohne „Remove Found Threats“. Dieser zweite Durchlauf brachte etliche infizierte Dateien, mehr als 10, und nachdem der Scan beendet war, habe ich die jetzt neuerlich erstellte Logdatei „Log.txt“ auf dem Desktop gespeichert. Ich poste die die zwei Log-Dateien jetzt hier weiter unten. Die erste Log-Datei (Log1.txt) beinhaltet die zwei Dateien, welche durch mein Missgeschick vermutlich „bereinigt“ sein dürften. Die danach erstellte „Log.txt“ beinhaltet diejenigen infizierten Dateien, die sich weiterhin auf meinem PC befinden, da das Programm sie offensichtlich nicht angetastet hat. Ich hoffe sehr, dass dieses Missgeschick von mir keine fatalen Folgen für Deine Anweisungen bringt!..

Die von Malwarebytes gefundenen infizierten Dateien habe ich lt. Deinen Anweisungen entfernt.

Also, wie gesagt, hier alle Logs, die Du haben wolltest, wie folgt:

1. Malwarebytes-Scan: Log-Datei "mbam-log-2012-05-26 (17-52-02).txt":

Code:

 Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.26.03
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

ZekiBAKTIR :: ZEKI [Administrator]
 

26.05.2012 16:50:37

mbam-log-2012-05-26 (17-52-02).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 266601

Laufzeit: 58 Minute(n), 42 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 2

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{XeJngJXf-ODXg-ffJf-IGRj-b8ZmzFObCacv} (Trojan.Agent) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\UAC (Malware.Trace) -> Keine Aktion durchgeführt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 2

C:\Programme\MyGlobalSearch (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

C:\Programme\MyGlobalSearch\bar (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
 

Infizierte Dateien: 2

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Keine Aktion durchgeführt.

C:\_OTL\MovedFiles\05192012_184305\C_Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
 

(Ende)

2. Malwarebytes-Scan: Log-Datei "mbam-log-2012-05-26 (16-50-37).txt":

Code:

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

ZekiBAKTIR :: ZEKI [Administrator]
 

26.05.2012 16:50:37

mbam-log-2012-05-26 (16-50-37).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 266601

Laufzeit: 58 Minute(n), 42 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 2

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{XeJngJXf-ODXg-ffJf-IGRj-b8ZmzFObCacv} (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\UAC (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 4

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 2

C:\Programme\MyGlobalSearch (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Programme\MyGlobalSearch\bar (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 2

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\05192012_184305\C_Dokumente und Einstellungen\ZekiBAKTIR\Anwendungsdaten\itunes_service86.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Und hier die erste ESET-Log Datei (mit den 2 fälschlicherweise bereinigten Dateien):

log1.txt:

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e

# end=stopped

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-26 04:28:44

# local_time=2012-05-26 06:28:44 (+0100, Westeuropäische Sommerzeit)

# country="Austria"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 357 357 0 0

# scanned=15135

# found=2

# cleaned=2

# scan_time=407

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\6\F3\07362d01        HTML/Hoax.FastDownload.C.Gen application (deleted - quarantined)        00000000000000000000000000000000        C

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\8\0A\C4CE4d01        JS/Exploit.Pdfka.PIN trojan (deleted - quarantined)        00000000000000000000000000000000        C

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

Und hier die 2. endgültige ESET-Logdatei:

Code:

 ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e

# end=stopped

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-26 04:28:44

# local_time=2012-05-26 06:28:44 (+0100, Westeuropäische Sommerzeit)

# country="Austria"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 357 357 0 0

# scanned=15135

# found=2

# cleaned=2

# scan_time=407

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\6\F3\07362d01        HTML/Hoax.FastDownload.C.Gen application (deleted - quarantined)        00000000000000000000000000000000        C

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\057t3s5h.default\Cache\8\0A\C4CE4d01        JS/Exploit.Pdfka.PIN trojan (deleted - quarantined)        00000000000000000000000000000000        C

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=5f6944ce0a382647975fd2bb4b5d548e

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-26 05:46:59

# local_time=2012-05-26 07:46:59 (+0100, Westeuropäische Sommerzeit)

# country="Austria"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 878 878 0 0

# scanned=178052

# found=21

# cleaned=0

# scan_time=4581

C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\plugtmp\plugin-ap1.php        JS/Exploit.Pdfka.PIN trojan (unable to clean)        00000000000000000000000000000000        I

C:\otl rar verpackt für den trojanerboard\_OTL.rar        Win32/LockScreen.AKG trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\107cd1bb-4c8b87ed.Vir        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\317c6402-349cb1bb.Vir        Java/Exploit.Bytverify trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\423eaced-7d99d947.Vir        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\58535aaf-54584336.Vir        Java/TrojanDownloader.OpenStream.NAB trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\64c571fb-173ea94f.Vir        Java/Exploit.Bytverify trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\6d7493b4-3d68e19f.Vir        Java/TrojanDownloader.OpenStream.NAB trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\crtdcghcn.jar-70fead62-1bdb9a3f.zip.Vir        multiple threats (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\jrl.jar-70b9958a-6fee5855.zip.Vir        Java/Exploit.Bytverify trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\jrl.jar-8e51641-712e6b39.zip.Vir        Java/Exploit.Bytverify trojan (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-10fdd72b.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-30487e9c.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-387c00c6.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-3ec5e461.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-4bcd0609.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-4f139850.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-6f69fef5.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\QUARANTINE\menu.jr-57e3489c-78f7d682.zip.Vir        Java/Exploit.Bytverify virus (unable to clean)        00000000000000000000000000000000        I

C:\WINDOWS\system32\dhcpswapi.dll        Win32/TrojanClicker.Agent.NGS trojan (unable to clean)        00000000000000000000000000000000        I

H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar        VBS/TrojanDownloader.Psyme.gen trojan (unable to clean)        00000000000000000000000000000000        I

Und als Draufgabe das Scanergebnisse-Fenster von ESET:

Code:

 C:\Dokumente und Einstellungen\ZekiBAKTIR\Lokale Einstellungen\Temp\plugtmp\plugin-ap1.php        JS/Exploit.Pdfka.PIN trojan

C:\otl rar verpackt für den trojanerboard\_OTL.rar        Win32/LockScreen.AKG trojan

C:\QUARANTINE\107cd1bb-4c8b87ed.Vir        multiple threats

C:\QUARANTINE\317c6402-349cb1bb.Vir        Java/Exploit.Bytverify trojan

C:\QUARANTINE\423eaced-7d99d947.Vir        multiple threats

C:\QUARANTINE\58535aaf-54584336.Vir        Java/TrojanDownloader.OpenStream.NAB trojan

C:\QUARANTINE\64c571fb-173ea94f.Vir        Java/Exploit.Bytverify trojan

C:\QUARANTINE\6d7493b4-3d68e19f.Vir        Java/TrojanDownloader.OpenStream.NAB trojan

C:\QUARANTINE\crtdcghcn.jar-70fead62-1bdb9a3f.zip.Vir        multiple threats

C:\QUARANTINE\jrl.jar-70b9958a-6fee5855.zip.Vir        Java/Exploit.Bytverify trojan

C:\QUARANTINE\jrl.jar-8e51641-712e6b39.zip.Vir        Java/Exploit.Bytverify trojan

C:\QUARANTINE\menu.jr-57e3489c-10fdd72b.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-30487e9c.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-387c00c6.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-3ec5e461.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-4bcd0609.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-4f139850.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-6f69fef5.zip.Vir        Java/Exploit.Bytverify virus

C:\QUARANTINE\menu.jr-57e3489c-78f7d682.zip.Vir        Java/Exploit.Bytverify virus

C:\WINDOWS\system32\dhcpswapi.dll        Win32/TrojanClicker.Agent.NGS trojan

H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar        VBS/TrojanDownloader.Psyme.gen trojan

Ich danke für Deine Mühe im Voraus und hoffe, dass ich nicht all zu viel falsch gemacht habe!

Liebe Grüße

grammar

Zitat:

H:\Eigene Dateien\Downloads\Hacking_Dokumanlar.rar

Was genau ist das und aus welcher Quelle stammt das?

Also ich habe sehr lange suchen müssen und bin dann zum Schluss fündig geworden:
H:\ das ist die zweite externe Festplatte, die mir ein Bekannter vor sehr langer Zeit geschenkt hatte und die ich sehr selten, fast nie verwende. Ich habe sie mit meiner eigentlichen externen Festplatte (ich habe 2) zusammen durchscannen lassen, da du angewiesen hattest, "sämtliche externen Festplatten mitscannen lassen".

Ich habe keine Ahnung, was das für eine Datei sein könnte, stammt höchstwahrscheinlich von dem Vorbesitzer.

Da es eine *.rar-Datei ist und ich jetzt zumindest von dem Dateinamen her verunsichert bin ("Hacking" ??? - das zweite Wort "Dokumanlar" ist auf Türkisch und bedeutet "Dokumente"), habe ich sie jetzt mal gelassen.

Soll ich diese Datei löschen? Mir bedeutet sie nichts. Außerdem: was mache ich mit den restlichen ESET-Fünden? Auch alle löschen?

Vielen Dank für die rasche Antwort und liebe Grüße!

grammar

Die Datei und die anderen Objekte löschen wir nachher

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Also, es scheint alles normal zu funktionieren, der normale Modus von Windows geht uneingeschränkt weiter, mir ist nichts aufgefallen.

Auch unter Start-Menü: keine leeren Ordner. Allerdings glaube ich, bilde ich mir ein, dass ich früher den Ordner Mozilla Firefox (>> darunter die Datei Mozilla Firefox (Safe -Mode) ) nicht gehabt habe. Aber wie gesagt, ich kann mich auch irren.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OK. Vielen Dank !!! Muss aber jetzt dringend was anderes machen, und dann noch zur Arbeit, ich melde mich dann wieder!

So, es hat ein wenig noch gedauert in dieser Woche, aber hier bin ich wieder.

Ich habe die gewünschten Scan-Logs OTL.txt und Extras.txt und poste den Inhalt dieser Dateien als zip, da sie viel zu groß sind. (im Anhang)

Ich hoffe, dass ist OK so und das Anhängen der beiden zips funktioniert.

Warte auf weitere Anweisungen und bedanke mich sehr herzlich für die Bemühungen und für die Hilfe!

Liebe Grüße

grammar

Mit deiner OTL.txt stimm was nicht. Jeder Texteditor stürzt bei mir ab, wenn ich die OTL.txt von dir öffne und etwas runterscrolle :balla:

Lieber cosinus,

ich weiß auch nicht, was los ist. Die eigentliche Log-Datei war so immens groß, dass sie von Eurer Seite blockiert wurde, mit dem Hinweis auf Verpacken in eine zip-Datei. Ich habe das Ganze dann unter Verwendung des empfohlenen zip-Programms (7... irgendwas) verpackt (genau nach der Anleitung, welche -nach meinem Geschmack- aber ein wenig knapp war), deshalb kann ich einen Fehler nicht ausschließen. Ich bitte deshalb um Verzeihung. Wenn du es für richtig und notwendig und unumgänglich hältst und eine genauere Anleitung zum Verpacken hast, mache ich das Ganze gerne noch einmal.

Allerdings muss ich gestehen, dass mir aus beruflichen Gründen einfach die Zeit fehlt, mit diesen (immer kompliziereter werdenden) Maßnahmen Schritt zu halten, so dass ich ernsthaft zu überlegen begonnen habe, die verdammte Kiste einfach zu formatieren, nach der Rettung der Dateien.

Ohne Eure Hilfe und akribische Genauigkeit und Kompetenz in diesen Dingen infrage stellen zu wollen und im Bewusstsein tiefster Schätzung und Dankbarkeit bitte ich um Deine Stellungnahme, bzw um die Einschätzung, wie lange diese ganzen Prozedere dauern werden, ob noch sehr viel zu tun ist, und ob es dazu steht, ein "bis in die Knochen erkranktes Medium" noch retten zu müssen und ob es doch nicht vielleicht besser ist, damit kurzen Prozess zu machen. Denn wie schon erwähnt, möchte ich ehrlich gesagt niemanden unnötig belästigen, und vor allem Eure und meine Nerven damit schonen.

Vielen Dank nochmals und herzliche Grüße

grammar

p.s.: Ich habe noch einen anderen Computer (Laptop) und bin nicht wirklich um jeden Preis auf den infizierten PC angewiesen.